Servizi
Cybersecurity per i siti web di Praga
Uno sguardo lucido su dove il tuo sito e i tuoi dati sono esposti, poi le soluzioni che chiudono le falle: audit, penetration test, code review sicura e hardening WAF. Da CZK 19.900, definito per audit.
Veloce e sicuro non sono un compromesso
La maggior parte degli studi web di Praga ti vende velocità oppure sicurezza, raramente entrambe. Lo schema abituale: un sito costruito in fretta su una pila di plugin, e la “sicurezza” diventa una corsa annuale a rattoppare quelli con un buco appena pubblicato. Noi costruiamo al contrario. I nostri siti vengono consegnati come codice statico scritto a mano con quasi nulla da attaccare: nessun database da iniettare, nessun login di amministrazione da forzare, nessun marketplace di plugin che ti consegna in silenzio la vulnerabilità di qualcun altro. La promessa è semplice: lo costruiamo veloce, e lo costruiamo sicuro, nello stesso progetto.
Ma una piccola superficie d’attacco non è la stessa cosa di nessuna superficie d’attacco. I moduli ricevono comunque input, le API rispondono comunque, i server hanno comunque bisogno di header corretti e TLS aggiornato. La cybersecurity è dove andiamo a cercare le falle di proposito, prima che lo faccia qualcuno con intenzioni peggiori.
Cosa controlliamo davvero
- Audit di sicurezza. Una revisione strutturata di sito, server, DNS, TLS, header e script di terze parti, consegnata come report scritto che ordina ogni riscontro per rischio concreto, non una checklist generica su cui non puoi agire.
- Penetration test. Con il tuo permesso scritto e un perimetro concordato, attacchiamo il tuo sito come farebbe un vero attaccante: injection, autenticazione, gestione delle sessioni, abuso di moduli e API, upload di file. Ricevi la prova di ciò che è sfruttabile, non un elenco teorico.
- Code review sicura. Per il codice su misura, leggiamo il sorgente in cerca degli errori che gli scanner non vedono: controlli d’accesso rotti, query non sicure, segreti finiti nel repository e dipendenze con CVE note.
- WAF e hardening. Mettiamo un web application firewall davanti al sito, irrigidiamo la configurazione del server, aggiungiamo gli header di sicurezza che i browser si aspettano e blindiamo tutto ciò che non deve essere pubblico.
Sicuro dal primo commit
Il lavoro di sicurezza più economico è quello che non devi mai applicare a posteriori. Quando costruiamo il tuo sito, l’hardening fa parte della realizzazione, non è un’aggiunta a pagamento in seguito: l’input è validato, l’output è messo in sicurezza, i segreti restano fuori dal codice, le dipendenze sono aggiornate e il server va online con impostazioni sensate. È per questo che un sito Prahapp parte da un punto molto migliore rispetto a un template assemblato con una dozzina di plugin di origine ignota.
Se hai già un sito costruito da qualcun altro, lo verifichiamo così com’è e ti diciamo con onestà se ha bisogno di hardening, di una ricostruzione o di nulla.
Il GDPR è un problema di sicurezza, non solo di policy
Sotto il GDPR e la legge ceca sulla protezione dei dati, una fuga di dati dei clienti non è solo imbarazzante: è segnalabile e può essere sanzionata. La maggior parte delle violazioni che vediamo non è sofisticata: un backup esposto, un modulo che spedisce i dati via email in chiaro, uno script di analytics che trasmette in silenzio dati personali a un paese terzo. Il nostro audit copre il lato tecnico della protezione dei dati UE: dove vivono i dati personali, come viaggiano, chi può raggiungerli e come si presenta una ragionevole “misura tecnica adeguata” per un’impresa della tua dimensione. Non siamo avvocati e lo diciamo, ma chiudiamo le falle tecniche che trasformano una policy sulla carta in un rischio reale.
Quanto costa
Un audit di sicurezza mirato con report scritto parte da CZK 19.900, dimensionato sulla grandezza del tuo sito. Penetration test, code review sicura e configurazione WAF vengono preventivati per intervento una volta noto il perimetro, perché un sito vetrina di cinque pagine e una piattaforma di prenotazione con login non sono lo stesso lavoro. Ogni preventivo è fisso e scritto prima di iniziare. Guarda la pagina prezzi per come lo strutturiamo, oppure raccontaci cosa gestisci e ti risponderemo entro 24 ore con un perimetro e un prezzo concreti.
Per chi è
Qualsiasi impresa di Praga che tratti dati dei clienti o non possa permettersi tempi di inattività: e-shop che raccolgono dati di carte, cliniche con cartelle dei pazienti, piattaforme di prenotazione, chiunque abbia appena fallito il questionario di sicurezza di un cliente o stia per firmarne uno. Se sei ancora indeciso se ti serve, un audit è il primo passo onesto: costa poco, è definito in anticipo e ti dice esattamente a che punto sei prima di spendere qualcosa in correzioni.
Domande frequenti
Che differenza c’è tra un audit di sicurezza e un penetration test?
Un audit è una revisione strutturata: ispezioniamo il tuo sito, il server, il TLS, gli header, il DNS e gli script di terze parti, poi ti consegniamo un report scritto che ordina ogni riscontro per rischio reale. Un penetration test va oltre e prova attivamente a sfruttare quei riscontri, con il tuo permesso scritto e un perimetro concordato, così vedi cosa potrebbe davvero fare un attaccante, non solo cosa sembra debole sulla carta. La maggior parte delle imprese parte dall’audit e aggiunge un pen test dove la posta in gioco lo giustifica.
Il test manderà offline il mio sito?
No. Testiamo su una copia di staging o in una finestra a basso traffico, concordiamo il perimetro con te per iscritto in anticipo e ci fermiamo nel momento in cui qualcosa sembra rischioso. L’obiettivo è trovare le debolezze in sicurezza, alle nostre condizioni, prima che qualcuno le trovi alle sue. Saprai esattamente cosa stiamo facendo e quando.
Correggete ciò che trovate, o solo lo segnalate?
Entrambe le cose, e scegli tu. Ogni intervento si chiude con un report scritto su cui puoi agire con qualsiasi sviluppatore. Se vuoi che chiudiamo noi le falle, preventiviamo le correzioni a prezzo fisso, le applichiamo e poi ritestiamo per confermare che ogni problema sia davvero risolto e non solo marcato come fatto.
La mia piccola impresa è davvero un bersaglio?
Quasi ogni attacco che vediamo è automatizzato, non personale. I bot scandagliano tutta internet in cerca di debolezze note e non si curano di quanto sei grande; un piccolo e-shop con un plugin obsoleto è un bersaglio più facile di una banca. Sotto il GDPR, una fuga dei dati dei tuoi clienti è inoltre segnalabile e sanzionabile, quindi la dimensione dell’impresa non è la dimensione del rischio.
In che modo una revisione di sicurezza aiuta con il GDPR?
Il GDPR richiede misure tecniche adeguate a proteggere i dati personali, e la maggior parte delle violazioni sono guasti tecnici più che di policy: un backup esposto, un modulo che invia dati in chiaro, uno script che trasmette dati a un paese terzo. Il nostro audit mappa dove vivono i dati personali, come si muovono e chi può raggiungerli, poi chiude le falle tecniche. Non siamo avvocati e te lo diciamo quando una domanda è legale e non tecnica.
Non sai quale servizio ti serve?
Descrivi la tua situazione e ti indirizzeremo verso l’opzione giusta, anche se questo significa dirti di non acquistare ancora da noi.