Architettura di sicurezza della piattaforma
Il diagramma seguente è una panoramica di un sistema di piattaforma tecnologica locale Salto Space Data-on-Card e dei suoi singoli componenti.
Questa pagina fornisce una panoramica degli standard e delle pratiche di sicurezza in relazione a ciascun componente di Salto Space.

1. Front-end e back-end di Salto Space
Salto Space è un’applicazione web HTTPS TLS e le comunicazioni tra Salto Service e i browser degli utenti sono JSON-RPC.
Gli operatori sono tenuti a fornire un nome utente e una password validi per accedere all’applicazione front-end. A seconda della configurazione selezionata, queste credenziali vengono convalidate rispetto al database Salto o a un servizio di directory tramite LDAP.
Le password vengono memorizzate utilizzando algoritmi di crittografia avanzati nel database.
2. Back-end di Salto Space e database SQL
La comunicazione tra il database e il Salto Service è protetta utilizzando un protocollo TLS.
3. Database SQL
Si trova in una posizione sicura nel data center di un cliente (il database è ospitato presso i locali di un cliente). L’accesso logico al database viene gestito tramite l’autenticazione con nome utente e password. Questa autenticazione potrebbe essere in modalità SQL o Windows, a seconda della configurazione durante il processo di configurazione del database.
I dati sensibili come le credenziali utente e le chiavi crittografiche sono crittografati.
L’accesso al database avviene solo tramite Salto Space Service. Gli utenti non possono accedere direttamente al database.
4. Back-end e unità di controllo/gateway di Salto Space
La comunicazione tra il Salto Service e le unità di controllo o i gateway Salto avviene tramite Ethernet e tali comunicazioni sono protette da un protocollo di rete sicuro basato su datagrammi UDP. Entrambe le parti vengono autenticate reciprocamente e utilizzano algoritmi di crittografia avanzati. Le chiavi crittografiche utilizzate sono crittografate e memorizzate in modo sicuro.
Esiste un processo di autenticazione tra il Servizio Salto e l’unità di controllo degli accessi o i gateway Salto per condividere una chiave di sessione comune, proteggendo così la comunicazione.
5. Unità di controllo e lettore a parete, gateway e nodo
La comunicazione cablata tra i gateway e i nodi Salto* si basa sulla comunicazione fisica RS485 ed è protetta mediante un protocollo di sicurezza avanzato. Questa comunicazione utilizza algoritmi di crittografia avanzati. Le chiavi di crittografia utilizzate sono crittografate e memorizzate in modo sicuro.
* L'unità di controllo, il lettore a parete, i gateway e il nodo sono. coinvolti in questa comunicazione.
6. Nodo/Nodo interno e blocco porta. Diretto o tramite un Ripetitore
- Salto RFnet: nel protocollo di comunicazione RF basato su IEEE 802.15.4 utilizzato da Salto, tutte le stringhe contenenti dati applicativi vengono autenticate e crittografate tramite una modalità sicura che utilizza algoritmi crittografici avanzati. Le chiavi di crittografia utilizzate sono crittografate e memorizzate in modo sicuro.
- BLUEnet: questa comunicazione si basa sul protocollo di comunicazione BLE che utilizza un meccanismo di salto di frequenza per la comunicazione con le porte. I frame di dati vengono autenticati e crittografati attraverso una modalità sicura, utilizzando algoritmi crittografici avanzati. Le chiavi di crittografia utilizzate sono crittografate e memorizzate in modo sicuro.
7. Scheda e lettore a parete/Serrature elettroniche
La sicurezza relativa alla modalità di lettura delle schede e alla protezione delle informazioni dipende dalla scheda utilizzata, ovvero dalla tecnologia della scheda stessa: MIFARE DESFire EV2, HID iClass, ecc., in modo tale che il meccanismo di crittografia si basi sulla tecnologia della scheda: AES, DES, 3DES, Crypto1, ecc.
Le carte sono protette dalle chiavi di sicurezza Salto. Queste chiavi di sicurezza vengono trasmesse alle schede quando l’applicazione viene creata (emessa) da un dispositivo sicuro SALTO: NCoder e/o lettori a parete.
Inoltre, Salto offre diversi tipi di processi di autenticazione utente che possono essere combinati (autenticazione a doppio fattore) per aumentare la sicurezza di un’installazione: carta + PIN, scheda + biometria o PIN + biometria.
8. Punti di accesso e dispositivo di programmazione portatile
Le chiavi di sicurezza sono crittografate e trasmesse ai punti di accesso Salto dal dispositivo di programmazione portatile (Portable Programming Device/PPD) Salto. Un PPD viene autenticato dal punto di accesso Salto tramite algoritmi crittografici avanzati.
9. Back-end e NCoder di Salto Space
La comunicazione tra Salto Space Service e un NCoder Salto è protetta da un protocollo di crittografia sicuro.
10. JustIN Mobile - Chiavi digitale
Le comunicazioni con il cloud Salto JustIN Mobile dal software di controllo degli accessi per la gestione di Salto ProAccess Space o dall’app JustIN Mobile sono protette con il protocollo HTTPS. Le informazioni riservate API vengono memorizzate in un formato hash nel cloud JustIN Mobile.
La chiave digitale è crittografata dal NCoder ed è incapsulata in un token. Questo token può essere aperto solo da un punto di accesso Salto, il che significa che la chiave digitale è crittografata end-to-end, dal NCoder al lettore. Un token non viene mai memorizzato nel cloud JustIN Mobile. Il cloud JustIN Mobile funge da ponte tra il back-end e l’app mobile.
Lo stesso vale se viene utilizzato un cloud di terze parti: NCoder crea un token e solo il lettore del punto di accesso Salto può aprirlo. Ciò significa che, ancora una volta, la crittografia end-to-end si applica alla chiave mobile.
11. App JustIN Mobile e serrature intelligenti
Gli algoritmi di crittografia proteggono la comunicazione tra il punto di accesso Salto e l’app mobile. Questo meccanismo evita un attacco di riproduzione e garantisce l’integrità di un token.