Sicurezza
Autenticazione a due fattori (2FA)
Abilitate la 2FA sul vostro account:
Account → Sicurezza → Autenticazione a Due Fattori → Abilita
Metodi supportati:
- TOTP (Google Authenticator, Authy, 1Password, ecc.)
- SMS (solo backup — non consigliato come primario)
Imporre la 2FA per tutti gli utenti
I proprietari e gli amministratori dell'account possono richiedere la 2FA per tutti i membri del team:
Account → Sicurezza → Richiedi 2FA per tutti gli utenti → Abilita
Gli utenti senza 2FA configurata verranno reindirizzati a configurarla al prossimo accesso.
Sessioni attive
Visualizzate e revocate le sessioni attive:
Account → Sicurezza → Sessioni Attive
Revocate singole sessioni (es. un dispositivo smarrito) o cliccate su Disconnetti tutti i dispositivi per invalidare tutte le sessioni contemporaneamente.
Cronologia accessi
Account → Sicurezza → Cronologia Accessi mostra gli ultimi 90 giorni di eventi di accesso inclusi indirizzo IP, dispositivo e timestamp.
Policy password
- Minimo 12 caratteri
- Non è possibile riutilizzare le ultime 5 password
- La rotazione forzata può essere configurata (Enterprise)
SSO (Enterprise)
I piani Enterprise supportano SSO SAML 2.0:
Account → Sicurezza → Single Sign-On
Con SSO abilitato:
- Gli utenti accedono tramite il vostro provider di identità (Okta, Azure AD, Google Workspace)
- L'accesso basato su password è disabilitato per gli utenti SSO
- Il provisioning/deprovisioning è gestito dal vostro IdP (SCIM opzionale)
Registro di audit
Tutte le azioni significative dell'account vengono registrate:
Account → Sicurezza → Registro di Audit
Gli eventi includono: accessi, inviti/rimozioni utenti, pubblicazioni policy, creazione/revoca chiavi API, modifiche alla fatturazione.
Il registro di audit viene conservato per 2 anni ed è esportabile come CSV su richiesta.
Chiavi di firma
Le chiavi di firma HMAC per le ricevute di consenso vengono gestite in:
Account → Sicurezza → Chiavi di Firma
Consultate Catena di Audit per capire come vengono usate le chiavi di firma.