Login

Cyber security & DORG

Scopri come l'ecosistema DORG gestisce la sovranità digitale e la protezione dei dati.

Pubblicato il documento sull’approccio alla cybersicurezza

Insieme al Documento sull’approccio alla conformità, la DORG Society Foundation ha pubblicato il Documento sull’approccio alla cybersicurezza: un riferimento dettagliato su come l’ecosistema DORG protegge i dati dei clienti, garantisce la sovranità digitale e affronta le sfide di sicurezza specifiche dell’IA.

Punti chiave

I tuoi dati rimangono nella tua infrastruttura. Nel modello di distribuzione Private Cloud, tutti i dati dei clienti rimangono all’interno dell’ambiente Azure del cliente stesso. DORG SRL non ha accesso all’ambiente o ai dati del cliente, né durante il funzionamento, né per l’assistenza, né per l’analisi.

Pseudonimizzazione a tre livelli per la supervisione etica. I metadati limitati che arrivano alla DORG Society per la supervisione etica sono sottoposti a tre livelli di pseudonimizzazione. Identificatori personali, contenuto delle risposte, dati grezzi e categorie particolari di dati personali sono esplicitamente esclusi da questo flusso.

Nessun accesso anonimo, mai. Ogni interazione richiede un’identità verificata tramite Microsoft Entra ID. Tutti gli utenti e la DORG stessa devono essere identità registrate all’interno della directory dell’organizzazione. Non è possibile alcuna interazione anonima o non registrata.

Controllo degli accessi su tre livelli. L’architettura impone controlli a livello di competenza (quali ruoli possono invocare quali funzionalità), a livello di dati (a quali fonti di informazione può accedere ogni ruolo) e a livello di output (quali azioni possono essere eseguite e da chi).

Piena sovranità del cliente. Il cliente mantiene la proprietà esclusiva di tutti i propri dati, configurazioni e competenze personalizzate. Al termine del contratto, tutti i dati rimangono nell’ambiente del cliente. DORG SRL non ne conserva alcuna copia.

Consapevolezza delle minacce specifiche dell’IA. Il documento affronta i rischi di sicurezza caratteristici dei sistemi di IA: rischio di allucinazione, esposizione dei dati ai fornitori di LLM, compromissione delle competenze tramite attacchi alla supply chain, tecniche di prompt injection e scenari di avvelenamento MCP.

Basato sul NIST Cybersecurity Framework 2.0

Il documento è strutturato secondo la tassonomia NIST CSF 2.0, fornendo un approccio alla cybersicurezza sistematico e riconosciuto a livello internazionale. Le sei funzioni principali sono affrontate come segue:

Govern — La governance della cybersicurezza è distribuita secondo il modello tripartito. Ruoli e responsabilità sono assegnati chiaramente: DORG SRL mette in sicurezza il software, DORG Society monitora la conformità etica e l’organizzazione del cliente gestisce la propria infrastruttura e le operazioni. L’Human Oversight Supervisor (HOS) funge da ancora operativa all’interno di ogni organizzazione.

Identify — Copre l’inventario degli asset per le distribuzioni DORG, la valutazione dei rischi specifica per i sistemi di IA, la classificazione dei dati per le informazioni elaborate dalla DORG, la mappatura dei flussi di dati standard attraverso tutti e quattro i flussi primari (interni, fornitori di LLM, supervisione etica, verifica dell’attivazione) e la modellazione delle minacce per i vettori di attacco specifici dell’IA.

Protect — Riguarda la gestione delle identità tramite l’integrazione con Entra ID, l’architettura di autorizzazione pre-LLM che impone controlli di accesso prima dell’inizio di qualsiasi elaborazione dell’IA, la sicurezza dei dati a livello sia di software che di infrastruttura e la formazione sulla consapevolezza della sicurezza per gli Human Oversight Supervisor.

Detect — Comprende il monitoraggio continuo attraverso una telemetria completa, il rilevamento di anomalie per comportamenti specifici dell’IA (modelli di allucinazione, invocazioni impreviste di competenze, violazioni delle soglie di confidenza) e la registrazione degli eventi di sicurezza in tutti i livelli del sistema.

Respond — Definisce le procedure di risposta agli incidenti integrando scenari specifici di DORG, obblighi reciproci di notifica delle violazioni entro 24 ore tra le entità dell’ecosistema e protocolli di escalation calibrati sulla gravità dell’incidente.

Recover — Copre la continuità operativa, comprese le implicazioni del meccanismo di attivazione condizionale e le procedure di ripristino a seguito di incidenti di sicurezza.

Una responsabilità condivisa

Come per la conformità, la cybersicurezza nell’ecosistema DORG è una responsabilità condivisa con confini chiari. DORG SRL integra la sicurezza nel software. L’organizzazione del cliente mette in sicurezza la propria infrastruttura e le operazioni. Nessuno dei due può delegare all’altro, ed entrambi sono responsabili all’interno del proprio ambito.

Il Documento sull’approccio alla cybersicurezza è disponibile su richiesta per i clienti di DORG Agency e per le organizzazioni interessate.

[ Updates ]

Articoli correlati

Come l’ecosistema DORG integra la conformità nell’architettura

Flavio Bordignon nominato Business Ethics Leader presso la Global AI Association

Responsible AI Adoption for Developing Countries