Notifica a Foxit di problemi di sicurezza

Sicurezza dei documenti

Foxit PDF Editor consente agli autori di documenti di creare documenti PDF e applicare varie misure di sicurezza, tra cui crittografia, controllo di accesso, firme digitali e redazione (rimozione permanente del contenuto). La facilità d'uso e la potenza di queste funzionalità offerte da Foxit PDF Editor permettono a utenti individuali e organizzazioni di mantenere efficacemente le loro informazioni private e riservate.

Crittografia

Gli standard di sicurezza supportati da Foxit PDF Editor includono:

• Advanced Encryption Standard (AES) a 256 bit
• ARC-FOUR Encryption Standard (ARC4) a 128 bit

Controllo di accesso

Gli utenti di Foxit PDF Editor possono condividere facilmente i documenti applicando password per prevenire la visualizzazione non autorizzata. Inoltre, possono specificare il controllo di accesso sui documenti per prevenire efficacemente modifiche, limitare la stampa o alterare i documenti.

Firme digitali

Con Foxit PDF Editor, gli utenti possono firmare digitalmente i documenti facilmente, utilizzando l'insieme più ampio di certificati digitali. Ciò è reso possibile dall'ampia integrazione con il sistema operativo sottostante, consentendo a qualsiasi certificato riconosciuto dal sistema operativo di essere utilizzato da Foxit PDF Editor. Una volta firmato correttamente, la firma digitale è univocamente collegata e in grado di identificare il firmatario. Il certificato del firmatario è cryptograficamente legato al documento durante il processo di firma utilizzando la chiave privata univocamente detenuta da quel firmatario. Queste firme digitali conformano allo standard PDF aperto e vengono validate da Foxit PDF Editor, insieme all'autenticità dei documenti firmati, attraverso uno scambio di informazioni crittografiche con le autorità di certificazione.

Redazione

L'insieme di strumenti di redazione in Foxit PDF Editor aiuta gli utenti a proteggere le loro informazioni sensibili o riservate. Con gli strumenti di redazione, gli utenti possono rimuovere permanentemente informazioni testuali e grafiche dai documenti. Una volta redatto, non rimane alcuna informazione residua nel documento che possa essere recuperata in alcun modo.

Sicurezza dell'applicazione

Oltre alla sicurezza dei documenti, noi di Foxit riconosciamo che il software stesso può essere un bersaglio di attacchi, quindi prendiamo molto sul serio la sicurezza delle nostre applicazioni. Pertanto, abbiamo adottato da tempo misure e processi che rappresentano le migliori pratiche del settore per garantire la sicurezza delle nostre applicazioni, e abbiamo anche introdotto funzionalità e capacità nel software stesso affinché gli utenti possano proteggersi ulteriormente in situazioni specializzate.

Migliori pratiche di sicurezza

Tutte le soluzioni PDF di Foxit sono sviluppate sotto la supervisione di un processo interno che incorpora varie migliori pratiche del settore. Queste pratiche di ingegneria del software coprono progettazione, sviluppo, test e verifica. Inoltre, simuliamo vettori di attacco noti in ambienti automatizzati, garantendo che le vulnerabilità di sicurezza vengano scoperte e risolte immediatamente nel processo di sviluppo interno. Inoltre, abbiamo un team dedicato di esperti di sicurezza esperti, ai quali è stata assegnata la responsabilità esclusiva di monitorare, risolvere i problemi e verificare l'esecuzione dell'intero processo.

Esecuzione autorizzata di JavaScript

Lo standard PDF consente l'incorporamento di frammenti di codice JavaScript nei file PDF. Questi frammenti di codice sono di natura dinamica e possono essere eseguiti quando gli utenti visualizzano i documenti PDF. Tale esecuzione può avere effetti negativi sull'utente e può essere considerata una preoccupazione per la sicurezza in organizzazioni con standard di sicurezza elevati. Per garantire la sicurezza completa in tali situazioni, Foxit PDF Editor e Foxit PDF Reader consentono di disabilitare l'esecuzione di JavaScript per singoli utenti o per l'intera organizzazione utilizzando il set di strumenti per la distribuzione aziendale di Foxit PDF Editor e Foxit PDF Reader.

Prevenzione di attacchi cross-domain

Foxit riconosce i rischi intrinseci associati all'accesso alle risorse cross-domain, una disposizione dello standard PDF stesso, ma a volte utilizzati dagli attaccanti per recuperare frammenti di codice dannosi o altre risorse nel sistema di un utente. Pertanto, sia Foxit PDF Editor che Foxit PDF Reader hanno disabilitato tale accesso di default e avvertono gli utenti di non abilitare tale opzione tranne in un ambiente dove la sicurezza può essere completamente garantita da altri mezzi.

Avvisi di sicurezza

Per alcuni file PDF avanzati che necessitano di eseguire operazioni avanzate nell'ambiente dell'utente, Foxit PDF Editor o Foxit PDF Reader possono determinare che alcune di queste operazioni comportano un rischio maggiore e avviseranno l'utente e richiederanno una conferma prima di procedere con tali operazioni. Esempi includono:

• Richiamo di accesso cross-domain
• Esecuzione di determinati tipi di metodi JavaScript
• Iniezione di dati
• Iniezione di script
• Riproduzione di multimedia legacy incorporati.

Questi avvisi sono implementati per essere il meno invadenti possibile per l'utente, consentendo all'utente di fidarsi del documento e quindi saltare tutte le successive conferme.

Foxit ha una relazione di lavoro molto stretta con gruppi di ricerca sulla cybersecurity e individui per scoprire attivamente e correggere le vulnerabilità trovate nei prodotti Foxit. (Ad esempio, Zero Day Initiative (Trend Micro), Cisco Talos e professionisti come mr_me). La tecnologia Foxit è utilizzata da giganti della tecnologia come Google, Microsoft e Amazon. In questi progetti, la tecnologia utilizzata in Foxit PDF Reader/Foxit PDF Editor è stata rigorosamente ispezionata da clienti e ispettori di sicurezza di terze parti. Foxit ha un eccellente record nella correzione di tutte le vulnerabilità trovate entro la finestra temporale consigliata dai ricercatori di sicurezza. Il tempo medio di correzione (~90 giorni) è migliore della media del settore (100-120 giorni). Foxit ha un team dedicato di risposta alla sicurezza in servizio 24/7 per monitorare e rispondere a problemi di sicurezza critici. Foxit ha anche una procedura "green path" per patch di sicurezza critiche.

Sicurezza cloud

I servizi cloud forniti da Foxit migliorano le capacità e l'esperienza utente della soluzione Foxit End User Productivity. Questi servizi sono costantemente monitorati per disponibilità, prestazioni e sicurezza.

Sicurezza del data center

Tutti i servizi cloud di Foxit sono gestiti dal nostro provider di servizi cloud fidato, Amazon Web Services (AWS), che è un data center ANSI tier-4 e mantiene controlli rigorosi sull'accesso al data center, tolleranza ai guasti, controlli ambientali e sicurezza. Solo dipendenti Foxit approvati e autorizzati, dipendenti del provider di servizi cloud e appaltatori con un'area commerciale legittima e documentata possono accedere al sito sicuro a Virginia, Stati Uniti, Francoforte, Germania e Montreal, Canada.

Crittografia dei dati e privacy

I servizi cloud di Foxit sono progettati con la privacy e la sicurezza come alta priorità. Tutte le trasmissioni di informazioni tra gli utenti e i servizi cloud Foxit sono completamente protette con crittografia AES a 256 bit tramite il protocollo di trasporto HTTPS.

I dipendenti Foxit e i fornitori fidati accedono ai dati dei clienti solo per eseguire determinate funzioni commerciali e di supporto, o come richiesto dalla legge. Foxit non fornisce a nessun governo accesso diretto o sistematico ai dati dei clienti che archiviamo.

Funzionamento off-grid

Foxit offre agli utenti e alle organizzazioni la possibilità di operare il software in modalità "off grid" completa, dove il software installato dagli utenti non accederà a servizi cloud. Questa funzionalità offre maggiore flessibilità di distribuzione e operativa per organizzazioni con elevate esigenze di sicurezza.

Distribuzione e amministrazione

Rafforzamento della sicurezza

Offrendo funzionalità e opzioni di configurazione correlate alla sicurezza, come la disabilitazione dell'esecuzione di JavaScript, l'accesso alle risorse cross-domain e l'attivazione del funzionamento "off grid", Foxit ha reso il suo software più robusto contro gli attacchi e può ridurre o eliminare la necessità di aggiornamenti di sicurezza out-of-band, nonché ridurre l'urgenza di aggiornamenti programmati regolarmente. Ciò porta a maggiore flessibilità operativa e a riduzione del Total Cost of Ownership (TCO), specialmente in grandi organizzazioni con elevate esigenze di sicurezza.

Supporto per Citrix e virtualizzazione delle applicazioni

Foxit PDF Editor supporta Citrix XenApp, Citrix XenDesktop, Microsoft App-V e altre ambienti di virtualizzazione. Ciò consente alle organizzazioni di fornire efficacemente accesso remoto sicuro agli utenti.

Supporto per Windows Server Group Policy Objects

Windows Server Group Policy Objects (GPO) consentono agli amministratori IT di automatizzare la gestione 1-a-molti di sistemi informatici. Foxit PDF Editor supporta modelli Microsoft Active Directory Administrative (ADM) certificati per Group Policy, consentendo all'amministratore di fornire installazione software su richiesta e riparazione automatica delle applicazioni.

Supporto per Microsoft SCCM e SCUP

Foxit PDF Editor e Foxit PDF Reader supportano anche Microsoft System Center Configuration Manager (SCCM) per garantire che i desktop Windows siano sempre aggiornati con patch di sicurezza.

Inoltre, il supporto per i cataloghi Microsoft System Center Updates Publisher (SCUP) consente agli amministratori IT di automatizzare gli aggiornamenti alle installazioni software di Foxit PDF Editor e Foxit PDF Reader in tutta l'organizzazione.