PowerArchiver utilizza il Microsoft CryptoAPI Enhanced Cryptographic Provider — certificato NIST CMVP, validato sotto FIPS 140-2. È lo stesso modulo crypto distribuito con Windows Server e in uso nelle agenzie federali.
Programma NIST CMVP →DFARS 252.204-7012 impone crittografia validata FIPS per le Controlled Unclassified Information (CUI). Poiché PowerArchiver eredita la validazione dalla Microsoft CryptoAPI, i deployment soddisfano il requisito tecnico DFARS senza costi né attività di certificazione separati.
Per i contractor federali →PowerArchiver pubblica un Voluntary Product Accessibility Template (VPAT) pubblico che documenta la conformità alla Section 508. Richiesto dalle istituzioni finanziate dal governo federale e sempre più imposto nel procurement statale.
Scarica il VPAT (PDF) →| Validazione | Autorità | Ambito | Riferimento |
|---|---|---|---|
| FIPS 140-2 | NIST CMVP | Modulo crittografico (AES, SHA-2, RSA, HMAC) · documentazione di validazione nel livello Enterprise | Elenco certificati CMVP |
| DFARS 252.204-7012 | DoD | Protezione CUI — eredita la validazione FIPS 140-2 · livello Enterprise | Autocertificazione supportata |
| Section 508 | Accessibilità federale (29 U.S.C. § 794d) | Accessibilità della UI per usi finanziati a livello federale | PDF VPAT |
| Allineato al GDPR | Art. 32 GDPR UE (misure tecniche) | Cifratura a riposo & in transito · nessun trattamento di PII nel prodotto | Documento di architettura su richiesta |
| Compatibile FERPA | U.S. Dept. of Education | Metodi ragionevoli per la protezione dei record degli studenti | Documento di architettura su richiesta |
| Compatibile HIPAA | U.S. HHS | AES validato FIPS = salvaguardia riconosciuta per le PHI a riposo · validazione nel livello Enterprise | Documento di architettura su richiesta |
| Cancellazione DoD (DoD 5220.22-M) | Declassificazione DoD | Cancellazione sicura integrata dei file sorgente dopo l'archiviazione | Documentato nella guida admin |
| Formato | Cifratura | Robustezza della chiave | Cifratura dei nomi file | Note |
|---|---|---|---|---|
| PAE2 | AES-256 (CBC + HMAC) | 256 bit | Sì (default) | Consigliato — proprietario PA, validato FIPS, encrypt-then-MAC |
| 7Z | AES-256 | 256 bit | Sì (opzionale) | Compatibile fra tool · 7-Zip, p7zip, altri |
| ZIP (AES) | AES-256 (WinZip AE-2) | 256 bit | No (limitazione ZIP) | Compatibile fra tool · WinZip, 7-Zip, altri tool ZIP-AES |
| ZIP (legacy) | ZipCrypto | 96 bit, debole | No | Supporto solo lettura · non usare per nuovi archivi |
| OpenPGP | AES-256 + RSA-4096 / ECC | 256 bit simmetrico, 4096 bit RSA | N/D (file PGP) | OpenPGP standard (RFC 4880) · interoperabile |
Scrivete a security@conexware.com con dettagli tecnici, passi di riproduzione e valutazione d'impatto. E-mail cifrate con PGP accettate — chiave pubblica su richiesta.
Riscontro iniziale entro 2 giorni lavorativi. Triage e valutazione della severità entro 5 giorni lavorativi. La tempistica della patch dipende dalla severità — i problemi critici sono prioritari per il rilascio d'emergenza.
Coordiniamo la divulgazione pubblica con il segnalante. Finestra predefinita: 90 giorni dalla conferma all'advisory pubblico, estendibile per i casi complessi. Chi segnala riceve credito nell'advisory, salvo richiesta di anonimato.
Problemi marketing / proprietà web (powerarchiver.com), attacchi di social engineering contro lo staff ConeXware e attacchi fisici. Non gestiamo un programma di bug bounty a pagamento, ma diamo credito pubblico alle divulgazioni responsabili.
Gli advisory di sicurezza — quando emessi — sono pubblicati su PowerArchiver News con il tag security-advisory. Iscrivetevi al feed degli advisory per ricevere le notifiche.
Scrivete a compliance@conexware.com con istituzione / azienda e caso d'uso di procurement. Risposta nello stesso giorno lavorativo per le richieste standard.
Il modulo crittografico è validato FIPS 140-2. PowerArchiver delega tutte le operazioni crittografiche (AES, SHA, RSA, HMAC) al Microsoft CryptoAPI Enhanced Cryptographic Provider, che detiene la certificazione NIST CMVP. PowerArchiver come applicazione non implementa crittografia propria, quindi non è necessaria una validazione separata per l'app — la validazione che conta (le primitive crittografiche) appartiene a Microsoft ed è ereditata da ogni programma che usa CryptoAPI in modalità FIPS. È lo stesso schema usato da Windows Server, BitLocker e dalla maggior parte del software Windows enterprise che tratta dati regolamentati.
SOC 2 audita i controlli operativi di una service organization — si applica a SaaS / servizi hostati. PowerArchiver è software desktop che gira sul vostro hardware; non gestiamo un servizio che tratta i vostri dati. Il framework SOC 2 non si applica in modo naturale a un prodotto come PowerArchiver. ConeXware (l'azienda) mantiene controlli operativi a livello corporate; se il vostro procurement richiede espressamente un'attestazione SOC 2 come controllo di vendor risk, contattate compliance@conexware.com con gli obiettivi di controllo specifici — di solito riusciamo a mappare la nostra catena di validazione FIPS / DFARS esistente sui vostri requisiti.
Sì. Quando Windows è configurato con il flag di policy locale FIPS (HKLMSystemCurrentControlSetControlLsaFipsAlgorithmPolicy), il provider CryptoAPI opera in modalità solo-FIPS e rifiuta gli algoritmi non FIPS. PowerArchiver eredita quella modalità e si limita agli algoritmi approvati FIPS (AES-256, SHA-2, RSA, HMAC). Nessuna configurazione di PowerArchiver necessaria oltre al flag a livello di OS.
La cifratura ZIP legacy (ZipCrypto, detta anche cifratura PKZIP) è violata da diversi attacchi noti e non andrebbe usata per nuovi archivi. PowerArchiver la supporta in lettura per compatibilità con archivi più vecchi, ma la UI di creazione archivio usa AES-256 di default. Gli admin possono bloccare la scelta di cifratura tramite proprietà MSI — vedi la guida di deployment per la chiave di registro / GPO che nasconde del tutto l'opzione legacy ZipCrypto agli utenti finali.
No. PowerArchiver è software desktop — i file restano sulla vostra macchina. Nessuna telemetria, nessuna analytics, nessun upload cloud dei contenuti dei file. L'attivazione della licenza contatta ConeXware una volta in fase di attivazione e durante le verifiche di aggiornamento opzionali; è l'unica connessione in uscita nella configurazione di default. Il prodotto non legge mai i contenuti dei vostri archivi né li trasmette altrove. È in parte la ragione per cui i workflow GDPR / FERPA / HIPAA passano accanto a PowerArchiver senza problemi — il prodotto non è un data processor in senso regolatorio.
No. PowerArchiver usa primitive crittografiche standard (AES, RSA, OpenPGP) implementate dalla Microsoft CryptoAPI. Nessuna chiave master, nessuna backdoor, nessun recovery escrow — se perdete la password o la chiave privata, i dati sono irrecuperabili. Non possiamo recuperarli al posto vostro, nemmeno con un ordine del tribunale. È il trade-off di usare correttamente la crittografia validata; è anche il motivo per cui questi algoritmi sono considerati affidabili per la ricerca finanziata a livello federale e i workflow di livello DoD.
Divulgazione coordinata su una finestra predefinita di 90 giorni, estendibile per i casi complessi. Le segnalazioni vanno a security@conexware.com. Riscontro iniziale entro 2 giorni lavorativi, triage entro 5. Advisory pubblico dopo il rilascio della patch. Chi segnala riceve credito salvo richiesta di anonimato. Non gestiamo un bug bounty a pagamento, ma ogni divulgazione responsabile ottiene un credito pubblico. Policy completa qui sopra.
