Σ
OASI
Hermes Console
oasi · core.ai · hermes console
Hermes/Legal/iso27001-soa
compliance · iso27001-soa

Statement of Applicability — ISO/IEC 27001:2022

93 controlli Annex A × stato in Hermes

Premessa

Questo Statement of Applicability mappa i 93 controlli dell'Annex A di ISO/IEC 27001:2022 allo stato attuale di Hermes Console (modalità SaaS).

Legenda Stato:

SiglaSignificato
Controllo implementato — riferimento codice/processo nella colonna successiva
🟡Parziale — implementato in parte, dettagli nella nota
📋Procedurale / organizzativo — coperto da policy interna OASI
Demandato a subprocessor (hosting, Anthropic, Stripe) via contratto/DPA
Non applicabile — motivazione nella nota

Hermes è ISO27001-aligned, non ancora certificato da ente accreditato. Vedi Security Whitepaper §10 per il piano di certificazione formale.

A.5 — Controlli organizzativi (37)

#ControlloStatoNote
A.5.1Information security policy📋Policy interna OASI versionata; disponibile sotto NDA.
A.5.2Information security roles and responsibilities📋RACI mantenuto internamente; CTO + CISO definiti.
A.5.3Segregation of duties🟡Ruoli Hermes (ADMIN/OPERATOR/VIEWER + superAdmin) separano operazione tenant da operazione cross-tenant.
A.5.4Management responsibilities📋Sign-off CTO annuale.
A.5.5Contact with authorities📋Garante Privacy, ACN (CSIRT Italia), enti settoriali (su richiesta).
A.5.6Contact with special interest groups📋CLUSIT membership in roadmap.
A.5.7Threat intelligence🟡Subscriptions a CVE feeds (osv.dev integrato in VulnScanner); ENISA bulletins manuale.
A.5.8Information security in project management📋Threat model parte del template progetto interno OASI.
A.5.9Inventory of information and other associated assetsAsset Hermes tracciati in repo + SBOM (vedi /legal/sbom).
A.5.10Acceptable use of information and other associated assets📋Acceptable Use Policy interna OASI; Acceptable Use per il cliente nei TOS Hermes.
A.5.11Return of assets📋Off-boarding employee con check-out.
A.5.12Classification of informationWhitepaper §3.1 definisce classi (critical/secret/restricted/confidential).
A.5.13Labelling of information🟡Marcatura "Riservato — OASI · core.ai" sui PDF generati; commenti "non-WinAnsi sanitized" sul rendering interno.
A.5.14Information transferTLS 1.2+ obbligatorio (Let's Encrypt + HSTS preload via nginx).
A.5.15Access controlWebAuthn passkey + ruoli + tenant FK isolation.
A.5.16Identity managementHermesUser con email unica + tenantId NOT NULL + superAdmin bool.
A.5.17Authentication informationSolo passkey (no password); recovery codes hashati bcrypt(11).
A.5.18Access rightsGuard requireUser/Admin/Paid/SuperAdmin + canAccessTenant.
A.5.19Information security in supplier relationships📋DPA con ogni subprocessor (vedi /legal/subprocessors).
A.5.20Addressing information security within supplier agreements📋Clausole nei contratti subprocessor.
A.5.21Managing information security in the ICT supply chainHermes stesso fa esattamente questo: VulnScanner (osv.dev) + CodeComprehender sul codice del cliente. Internamente: SBOM Hermes + monitoring dipendenze.
A.5.22Monitoring, review and change management of supplier services📋Review annuale subprocessor.
A.5.23Information security for use of cloud servicesProvider hosting con SLA + cifratura volume (vedi /legal/subprocessors).
A.5.24Information security incident management planningWhitepaper §8 + procedura interna.
A.5.25Assessment and decision on information security events📋Triage P0/P1/P2 documentato.
A.5.26Response to information security incidents📋Runbook interno; obbligo notifica 24h GDPR Art. 33 / 72h NIS2 Art. 23.
A.5.27Learning from information security incidents📋Post-mortem obbligatorio P0/P1, pubblicato (anonimizzato).
A.5.28Collection of evidenceAudit log HermesAuditLog append-only con userId/tenantId/ip/userAgent/timestamp.
A.5.29Information security during disruption📋BCP documentato (RPO/RTO in /legal/dpa).
A.5.30ICT readiness for business continuity📋DR test ad ogni release maggiore.
A.5.31Legal, statutory, regulatory and contractual requirements📋Compliance register interno (GDPR, NIS2 quando applicabile, Codice Privacy IT).
A.5.32Intellectual property rights📋License compliance via SBOM (vedi /legal/sbom).
A.5.33Protection of recordsAudit log append-only + backup DB.
A.5.34Privacy and protection of PIIHermes minimizza: nessun PII del cliente nel codice analizzato è target; eventuali finding di PII hardcoded sono rischi da segnalare al cliente, non dati che OASI conserva volontariamente.
A.5.35Independent review of information security📋Pen test esterno annuale (in pianificazione).
A.5.36Compliance with policies, rules and standards for information security📋Review trimestrale interna.
A.5.37Documented operating proceduresdeploy/README.md, deploy/STRIPE.md, memoria interna versionata.

A.6 — Controlli sulle persone (8)

#ControlloStatoNote
A.6.1Screening📋Background check standard EU per nuovi hire OASI.
A.6.2Terms and conditions of employment📋Clausole NDA + IP assignment + security duties.
A.6.3Information security awareness, education and training📋Onboarding security mandatory; refresh annuale.
A.6.4Disciplinary process📋Procedura HR interna.
A.6.5Responsibilities after termination or change of employment📋Revoca accessi entro 24h; NDA post-termination.
A.6.6Confidentiality or non-disclosure agreements📋NDA contestuali al contratto di lavoro.
A.6.7Remote working📋Policy MFA + disk encryption obbligatori.
A.6.8Information security event reporting📋Canale interno + esterno (security@oasi.systems).

A.7 — Controlli fisici (14)

#ControlloStatoNote
A.7.1 — A.7.14tutti i controlli fisiciDemandati al provider hosting (vedi /legal/subprocessors). OASI non gestisce data center proprio. Il provider è certificato ISO/IEC 27001 e SOC2; i controlli fisici (perimeter, badge, CCTV, fire suppression, power, cooling, supply chain hw) sono coperti dal loro programma. Documenti del provider disponibili al cliente su richiesta sotto NDA.

A.8 — Controlli tecnologici (34)

#ControlloStatoNote
A.8.1User end-point devices📋MDM su laptop OASI (encryption + remote wipe).
A.8.2Privileged access rightssuperAdmin gated + guardrail anti-lockout su PATCH /users/[id].
A.8.3Information access restrictionTenant FK isolation; tenantWhere / canAccessTenant su ogni route.
A.8.4Access to source codeRepo OASI privato; permessi per branch.
A.8.5Secure authenticationWebAuthn passkey (phishing-resistant by design).
A.8.6Capacity management📋Monitoring + alerting sul provider hosting.
A.8.7Protection against malware🟡Scanning binaries lato CI; SecretScanner engine-side per detection in InstrumentationApplier.
A.8.8Management of technical vulnerabilitiesVulnScanner (osv-scanner) sulle dipendenze Hermes e su quelle del cliente. SBOM aggiornato (vedi /legal/sbom).
A.8.9Configuration managementDocker Compose pinned versions, pnpm-lock.yaml versionato, Prisma migrations atomiche.
A.8.10Information deletionfinally{ rm -rf temp } su ogni endpoint clone-aware. Cancellazione DB su richiesta cliente.
A.8.11Data masking🟡Sanitization di pattern oauth2:[^@]+@ nei log d'errore; rendering Markdown via React (auto-escape).
A.8.12Data leakage preventionMinimizzazione corpus inviato a LLM (top-N file selezionati, budget chars); no caching tra repo; deploy key/PAT mai loggati.
A.8.13Information backupSnapshot giornaliero a livello provider hosting + esportabile da operatore (pg_dump manuale documentato).
A.8.14Redundancy of information processing facilities🟡Modalità SaaS: single-region. Enterprise / on-prem: configurabile dal cliente.
A.8.15LoggingAudit log applicativo + Docker logs + provider hosting logs.
A.8.16Monitoring activitiesAudit explorer (/audit) per anomalie applicative; provider per infra.
A.8.17Clock synchronization📋NTP sul box (default Debian); critico per signature verification Stripe.
A.8.18Use of privileged utility programs🟡Subprocess spawn limitato a git, osv-scanner, ssh-keygen con timeout + maxBuffer.
A.8.19Installation of software on operational systems📋Solo OASI può deployare; CI/CD versionato.
A.8.20Networks securityProvider hosting (firewall, DDoS basic mitigation). nginx terminator TLS lato app.
A.8.21Security of network servicesTLS-only, HSTS, no plaintext HTTP.
A.8.22Segregation of networks🟡Postgres in network privato del docker-compose, esposto solo al servizio Hermes.
A.8.23Web filteringN/A: Hermes non opera web filtering; pertinente al cliente che usa Hermes.
A.8.24Use of cryptographyAES-256-GCM + scrypt + bcrypt + HS256 + SHA-256 + HMAC-SHA256 — schemi documentati nel Whitepaper §4.1.
A.8.25Secure development life cycleTypeScript strict, 654 unit test, Prisma type-safe, eslint, code review obbligatorio.
A.8.26Application security requirementsOWASP Top 10 considered in design (authn, broken access control, sensitive data exposure, security misconfig). Pen test esterno in pianificazione.
A.8.27Secure system architecture and engineering principlesPrincipio least privilege, defense in depth (auth + tenant scope + audit + crypto), fail-secure (404 vs 403 per non leak-are esistenza).
A.8.28Secure codingCode review + linting + test gate su PR + SAST in roadmap (Semgrep).
A.8.29Security testing in development and acceptance🟡Test unit (654) + integrazione (e2e Discovery+Apply provati). DAST in roadmap.
A.8.30Outsourced developmentN/A: Hermes sviluppato interamente in-house.
A.8.31Separation of development, test and production environmentsBranch main = prod; ambienti dev/test su VPS separati o locali. DB di prod separato per tenant cliente (in modalità on-prem).
A.8.32Change managementTutte le modifiche prod via PR + review + CI green; migrations Prisma atomiche con baseline-resolve documentato.
A.8.33Test informationTest fixture interne; nessun dato cliente in fixture pubbliche (rule "no fake data" → uso solo repository pubblici per smoke).
A.8.34Protection of information systems during audit testingPen test esterno (in pianificazione) eseguito su ambiente staging.

Documento mantenuto da OASI S.r.l. Per richiedere il dettaglio implementativo di un controllo specifico (con riferimenti file+riga del codice), scrivere a security@oasi.systems sotto NDA.