DORG Society Foundation ha rilasciato il CyberSecurity Approach Document — un riferimento dettagliato che illustra come l’ecosistema DORG protegge i dati dei clienti, garantisce la sovranità digitale e affronta le sfide di sicurezza specifiche dell’AI.
Punti chiave
I tuoi dati restano nella tua infrastruttura. Nel modello di deployment Private Cloud, tutti i dati del cliente rimangono all’interno del suo ambiente Azure. DORG SRL non ha accesso all’ambiente o ai dati del cliente — né durante l’operatività, né per supporto, né per analisi.
Pseudonimizzazione a tre livelli per la supervisione etica. I metadati limitati che fluiscono verso DORG Society per il monitoraggio etico attraversano tre livelli di pseudonimizzazione. Identificatori personali, contenuti delle risposte, dati grezzi e categorie particolari di dati personali sono esplicitamente esclusi da questo flusso.
Nessun accesso anonimo — mai. Ogni interazione richiede un’identità verificata tramite Microsoft Entra ID. Tutti gli utenti e il DORG stesso devono essere identità registrate nella directory dell’organizzazione. Nessuna interazione anonima o non registrata è possibile.
Controllo degli accessi su tre livelli. L’architettura applica controlli a livello di competenza (quali ruoli possono invocare quali capacità), a livello di dati (a quali fonti informative ogni ruolo può accedere) e a livello di output (quali azioni possono essere eseguite e da chi).
Piena sovranità del cliente. Il cliente mantiene la proprietà esclusiva di tutti i propri dati, configurazioni e competenze custom. Alla cessazione del contratto, tutti i dati restano nell’ambiente del cliente. DORG SRL non trattiene copie.
Consapevolezza delle minacce specifiche dell’AI. Il documento affronta i rischi di sicurezza caratteristici dei sistemi AI: rischio di allucinazione, esposizione dei dati verso i provider LLM, compromissione delle competenze tramite attacchi alla supply chain, tecniche di prompt injection e scenari di MCP poisoning.
Costruito sul NIST Cybersecurity Framework 2.0
Il documento è strutturato secondo la tassonomia NIST CSF 2.0, fornendo un approccio sistematico e riconosciuto a livello internazionale alla cybersecurity. Le sei funzioni core sono affrontate come segue:
Govern — La governance della cybersecurity è distribuita nel modello tripartito. Ruoli e responsabilità sono chiaramente assegnati: DORG SRL garantisce la sicurezza del software, DORG Society monitora la conformità etica, e l’organizzazione cliente gestisce la propria infrastruttura e le operazioni. L’Human Oversight Supervisor (HOS) funge da punto di riferimento operativo all’interno di ogni organizzazione.
Identify — Copre l’inventario degli asset per i deployment DORG, la valutazione del rischio specifica per sistemi AI, la classificazione dei dati elaborati dal DORG, la mappatura dei flussi dati standard attraverso tutti e quattro i flussi primari (interno, provider LLM, supervisione etica, verifica attivazione) e il threat modeling per vettori di attacco specifici dell’AI.
Protect — Affronta la gestione delle identità tramite integrazione Entra ID, l’architettura di autorizzazione pre-LLM che applica i controlli di accesso prima che qualsiasi elaborazione AI abbia inizio, la sicurezza dei dati a livello software e infrastrutturale, e la formazione sulla sicurezza per gli Human Oversight Supervisor.
Detect — Comprende il monitoraggio continuo attraverso la telemetria completa, il rilevamento di anomalie per comportamenti specifici dell’AI (pattern di allucinazione, invocazioni inattese di competenze, superamento delle soglie di confidenza) e il logging degli eventi di sicurezza su tutti i livelli del sistema.
Respond — Definisce le procedure di risposta agli incidenti integrando scenari specifici DORG, obblighi reciproci di notifica delle violazioni entro 24 ore tra le entità dell’ecosistema e protocolli di escalation calibrati sulla gravità dell’incidente.
Recover — Copre la continuità operativa, incluse le implicazioni del meccanismo di attivazione condizionale e le procedure di ripristino a seguito di incidenti di sicurezza.
Una responsabilità condivisa
Come per la compliance, la cybersecurity nell’ecosistema DORG è una responsabilità condivisa con confini chiari. DORG SRL integra la sicurezza nel software. L’organizzazione cliente protegge la propria infrastruttura e le proprie operazioni. Nessuno dei due può delegare all’altro — ed entrambi sono responsabili nel proprio dominio.
Il CyberSecurity Approach Document è disponibile per i clienti DORG Agency e per le organizzazioni interessate su richiesta.
