Sicurezza
Autenticazione a due fattori (2FA)
Abilita il 2FA sul tuo account:
Account → Sicurezza → Autenticazione a due fattori → Abilita
Metodi supportati:
- TOTP (Google Authenticator, Authy, 1Password, ecc.)
- SMS (solo backup — non consigliato come principale)
Applicare il 2FA per tutti gli utenti
I proprietari e amministratori dell'account possono richiedere il 2FA per tutti i membri del team:
Account → Sicurezza → Richiedi 2FA per tutti gli utenti → Abilita
Gli utenti senza 2FA configurato verranno reindirizzati a configurarlo al loro prossimo accesso.
Sessioni attive
Visualizza e revoca le sessioni attive:
Account → Sicurezza → Sessioni attive
Revoca le singole sessioni (ad es. un dispositivo smarrito) o clicca Disconnetti tutti i dispositivi per invalidare tutte le sessioni contemporaneamente.
Cronologia accessi
Account → Sicurezza → Cronologia accessi mostra gli ultimi 90 giorni di eventi di accesso inclusi indirizzo IP, dispositivo e timestamp.
Policy sulle password
- Minimo 12 caratteri
- Non può riutilizzare le ultime 5 password
- La rotazione forzata può essere configurata (Enterprise)
SSO (Enterprise)
I piani Enterprise supportano SSO SAML 2.0:
Account → Sicurezza → Single Sign-On
Con SSO abilitato:
- Gli utenti accedono tramite il tuo identity provider (Okta, Azure AD, Google Workspace)
- L'accesso basato su password è disabilitato per gli utenti SSO
- Il provisioning/deprovisioning è gestito dal tuo IdP (SCIM opzionale)
Log di audit
Tutte le azioni significative sull'account vengono registrate:
Account → Sicurezza → Log di audit
Gli eventi includono: accessi, inviti/rimozioni utenti, pubblicazioni policy, creazione/revoca chiavi API, modifiche di fatturazione.
Il log di audit viene conservato per 2 anni ed è esportabile come CSV su richiesta.
Chiavi di firma
Le chiavi di firma HMAC per le ricevute di consenso sono gestite in:
Account → Sicurezza → Chiavi di firma
Vedi Catena di audit per come vengono utilizzate le chiavi di firma.