Punti chiave da ricordare
- Il codice sorgente viene criptato al caricamento e non viene mai memorizzato in forma non criptata.
- Le chiavi di decrittazione sono tenute separate dai sistemi tecnici, in una cassaforte fisica.
- L’accesso del beneficiario al repository è condizionato, definito dal contratto, e deve essere giustificato, verificato e tracciato.
- Vaultinum è certificata ISO 27001 in tutta la sua organizzazione, non solo per l’hosting.
- I dati sono ospitati in Svizzera, sotto un quadro legale protettivo.
- Il sistema protegge contemporaneamente gli interessi sia del fornitore che del beneficiario.
Perché la sicurezza del codice sorgente è al centro di un escrow
Un deposito a garanzia del codice sorgente si basa su un principio semplice: una terza parte indipendente possiede il codice dell’editore e lo rende disponibile a un beneficiario se vengono soddisfatte condizioni predefinite nel contratto, come inadempienza da parte del fornitore, cessazione della manutenzione o violazione del contratto. Questo meccanismo tutela la continuità operativa del beneficiario regolando al contempo l’accesso alla proprietà intellettuale del fornitore.
Tuttavia, questo principio funziona solo se la terza parte offre garanzie concrete. Un editore che affida il proprio codice sorgente a un agente escrow deve essere in grado di verificare che questo codice non sarà visualizzato, divulgato o accessibile senza una causa legittima. Da parte sua, il beneficiario deve essere assicurato che il deposito sarà effettivamente disponibile quando sarà necessario. La robustezza del meccanismo di sicurezza determina quindi la fiducia di entrambe le parti.
Vaultinum: una terza parte affidabile basata su standard riconosciuti
Il ruolo di un agente di deposito software non si limita alla memorizzazione del codice. Comporta la garanzia dell’integrità del deposito, la neutralità del suo deposito e il rigoroso rispetto delle condizioni di accesso. Questo ruolo richiede un quadro di natura legale, organizzativa e tecnica.
Vaultinum agisce come una terza parte affidabile con un framework che va oltre il semplice hosting del codice. L’azienda combina uno status regolatorio riconosciuto, certificazioni che coprono i processi interni e meccanismi di sicurezza applicati in ogni fase del ciclo di vita del deposito.
Per i fornitori, ciò significa che il loro codice è protetto da un sistema in cui ogni componente è verificabile. Per i beneficiari, ciò garantisce che il deposito possa essere restituito secondo i termini contrattuali concordati.
Certificazioni che coprono l’organizzazione, non solo l’infrastruttura
Il quadro di sicurezza di Vaultinum si basa su standard riconosciuti, che coprono sia l’infrastruttura tecnica sia i processi che regolano la gestione dei repository.
La certificazione ISO 27001 garantisce un quadro di sicurezza applicato a tutte le operazioni. In Vaultinum, questo copre non solo i server ma anche i processi interni, la gestione degli accessi e la gestione dei depositi.
Per il fornitore, ciò significa che la riservatezza del codice si basa non solo sulla tecnologia, ma anche da regole interne rigorose che disciplinano l’accesso. Questo riduce il rischio di accesso non autorizzato, anche interni.
Inoltre, tutti i depositi effettuati sulla piattaforma Vaultinum sono datati tramite un fornitore di servizi accreditato da ANSSI, in conformità con il Regolamento eIDAS. Questa datamarca serve a dimostrare la data di deposito, l’originalità e a garantire che il contenuto non sia stato alterato, nonché l’integrità.
In termini pratici, il fornitore è assicurato che il codice depositato non può essere modificato senza traccia, mentre il destinatario è garantito di recuperare esattamente la versione depositata se le condizioni per il recupero sono soddisfatte.
Sicurezza integrata a livelli
Oltre alle certificazioni, la protezione del repository si basa su meccanismi operativi concreti. Ognuno affronta un rischio specifico e fa parte di un’architettura progettata per garantire che nessuno, inclusi coloro all’interno di Vaultinum, possa accedere autonomamente ai contenuti di un repository.
Crittografia e nessuna memoria in testo chiaro
Il rischio più immediato per il codice sorgente depositato è che possa essere letto da una terza parte non autorizzata.
Per evitare ciò, Vaultinum applica la crittografia ibrida non appena il deposito viene ricevuto. I file vengono resi illeggibili e la chiave necessaria per decifrarli viene memorizzata separatamente.
In termini pratici, sono necessari due elementi per accedere al codice: i dati e la chiave. Senza questa chiave, i file rimangono illeggibili, anche se i sistemi vengono accessibili.
Una volta completato il deposito, viene sigillato con una chiave dedicata, conservato in una cassaforte fisica dal reparto legale e inaccessibile ai team tecnici.
Il repository viene poi replicato su due data center separati per garantirne la disponibilità in caso di incidente.
In nessun momento il codice sorgente è accessibile in testo semplice all’interno dei sistemi. Può essere decrittato solo come parte di una procedura formale di divulgazione.
Separazione dei ruoli e restrizione dell’accesso interno
Concentrare i diritti di accesso all’interno di un unico team rappresenta un rischio, anche presso un fornitore di servizi certificato. Vaultinum applica una rigida separazione delle responsabilità: i team infrastrutturale, legali e tecnici operano ciascuno in una fase distinta del processo, senza che nessuno abbia pieno accesso al repository.
Il reparto infrastruttura garantisce il recupero e l’archiviazione sicura del repository criptato. Il reparto legale conserva la chiave di decrittazione in una cassaforte fisica. Il team tecnico è coinvolto solo nel processo di decrittazione e nella rendere accessibile il repository, come parte di una procedura formale.
Questa struttura impedisce qualsiasi accesso unilaterale, anche interno, e riduce significativamente il rischio di accesso non autorizzato.
Procedura di accesso condizionale e di tracciamento
L’accesso al repository escrow non può mai essere concesso su base discrezionale. È soggetto al rispetto di condizioni contrattualmente definite: fallimento comprovato da parte del fornitore, interruzione della manutenzione o qualsiasi altro evento specificato nell’accordo di escrow.
Tutte le richieste sono soggette a verifica dell’identità e validazione legale. Il processo viene quindi avviato secondo una procedura regolamentata, che coinvolge diversi membri dello staff in varie fasi successive, dal recupero del repository criptato da parte del team infrastrutturale fino al suo ritorno dopo la decrittazione.
I dati sono messi a disposizione del beneficiario tramite un server sicuro, con accesso a tempo limitato. Tutte le operazioni sono registrate.
Il fornitore è così assicurato che il proprio codice sarà rilasciato solo entro le condizioni stabilite, mentre il beneficiario è assicurato che la procedura potrà essere applicata se tali condizioni saranno soddisfatte.
Protezione equilibrata sia per il fornitore che per il beneficiario
Il deposito in garanzia del codice sorgente è utile solo se protegge entrambe le parti. Il fornitore deve sapere che il proprio codice non sarà accessibile o divulgato se non nelle circostanze specificate. Il beneficiario deve sapere che il deposito è autentico, intatto e accessibile quando sarà il momento.
È inoltre importante notare che l’accesso al codice tramite un accordo escrow non costituisce un trasferimento di proprietà intellettuale: i diritti rimangono al fornitore, anche quando il deposito è reso accessibile al beneficiario.
Vaultinum soddisfa questi doppi requisiti attraverso un sistema in cui la sicurezza tecnica, la crittografia e la separazione dei compiti, la conformità normativa, la norma ISO 27001 e la localizzazione dei dati, ospitata in Svizzera, si rafforzano a vicenda. L’hosting in Svizzera, in particolare, offre un quadro legale stabile e una protezione dei dati rafforzata, criterio chiave per le aziende soggette a requisiti di conformità.
Questo framework strutturato trasforma il software escrow in uno strumento autentico di gestione del rischio software: verificabile, applicabile e adattato alle esigenze delle relazioni B2B odierne. Fornisce una risposta chiara alle aspettative dei beneficiari, garantendo al contempo ai fornitori che i loro beni rimangano protetti in ogni fase.
Disclaimer
Le opinioni, le presentazioni, i dati e le stime esposti sul sito web, incluso il blog, sono a scopo informativo e non devono essere interpretati come consulenza legale. Per consulenza legale dovresti contattare un professionista legale nella tua giurisdizione.
L’uso di qualsiasi contenuto su questo sito, incluso questo blog, per scopi commerciali, inclusa la rivendita, è vietato, a meno che non venga prima ottenuto il permesso da Vaultinum. La richiesta di permesso deve indicare lo scopo e l’entità della riproduzione. Per scopi non commerciali, tutto il materiale di questa pubblicazione può essere liberamente citato o ristampato, ma è necessario un riconoscimento, insieme a un link a questo sito web.
