Trust center

Trust center

La trasparenza è al centro di tutto ciò che facciamo. Esplora le nostre pratiche di sicurezza, lo stato di conformità e le misure che adottiamo per proteggere i tuoi dati.

Sicurezza in sintesi

Crittografia dei dati

Tutti i dati sono crittografati in transito con TLS 1.3 e a riposo con crittografia AES-256.

Infrastruttura

Ospitato su infrastruttura basata nell'UE con CDN Bunny.net per prestazioni globali e protezione DDoS.

Controllo degli accessi

Autenticazione multifattore, controlli di accesso basati sui ruoli e registrazione audit completa.

Privacy by design

Raccolta dati minima, nessun cookie di tracciamento e architettura orientata alla privacy fin dalla progettazione.

Risposta agli incidenti

Processo documentato di risposta agli incidenti con impegno di notifica delle violazioni entro 24 ore.

Monitoraggio continuo

Scansione automatizzata delle vulnerabilità, audit delle dipendenze e valutazioni di sicurezza continue.

Conformità e normative

Ci impegniamo a soddisfare e superare i requisiti normativi. Di seguito è riportato il nostro stato di conformità attuale.

Conforme

GDPR

Piena conformità al Regolamento generale sulla protezione dei dati dell'UE, inclusa la minimizzazione dei dati, la gestione del consenso e i diritti degli interessati.

Conforme

Direttiva ePrivacy

Conforme ai requisiti ePrivacy dell'UE. Le nostre analisi funzionano senza cookie di tracciamento.

Conforme

CCPA

Conformità al California Consumer Privacy Act con pratiche di dati trasparenti e diritti degli utenti.

Pianificato

SOC 2 Type II

La certificazione di audit SOC 2 Type II è prevista come parte della nostra roadmap di sicurezza.

Pianificato

ISO 27001

La certificazione per la gestione della sicurezza delle informazioni è prevista come parte della nostra roadmap di conformità.

Sub-responsabili

Crediamo nella piena trasparenza riguardo ai servizi di terze parti che utilizziamo per fornire la nostra piattaforma. Tutti i sub-responsabili sono vincolati da accordi sul trattamento dei dati.

FornitoreScopoPosizioneGiurisdizioneDati trattati
ScalewayInfrastruttura cloud (Kubernetes, PostgreSQL, MySQL, NATS, registro immagini)UE (francia)Solo UETutti i dati applicativi
Bunny.netCDN e DNSUE (slovenia)Solo UEMetadati delle richieste, indirizzi IP
ProtonE-mail e spazio di lavoroSvizzeraLPD (svizzera)Comunicazioni e-mail
PaddleElaborazione pagamenti (merchant of record)Regno unitoRegno unito (no FISA)Dati di fatturazione e pagamento
GitHubRepository di codiceUSAFISA sezione 702 / Cloud actCodice sorgente, dati di sviluppo
BillyContabilitàUE (danimarca)Solo UEDati finanziari e di fatturazione
Simply.comRegistrar di domini (domini principali)UE (danimarca)Solo UEDati di registrazione del dominio
CloudflareRegistrar di domini (TLD di marchio)USAFISA sezione 702 / Cloud actDati di registrazione del dominio

Forniamo un preavviso di almeno 30 giorni per qualsiasi modifica ai nostri sub-responsabili, come descritto nel nostro Accordo sul trattamento dei dati.

Il nostro approccio alla sovranità dei dati

I fornitori con sede negli Stati Uniti sono soggetti a FISA Sezione 702 e al Cloud Act, che possono imporre la divulgazione dei dati indipendentemente da dove sono archiviati. La posizione del server da sola non protegge i dati da queste leggi. FISA Cloud Act

Lavoriamo attivamente per ridurre al minimo la nostra dipendenza da servizi soggetti alla giurisdizione statunitense. La nostra infrastruttura principale (hosting, database, CDN, DNS, e-mail e pagamenti) è gestita esclusivamente da fornitori con sede nell'UE, al di fuori della portata di FISA e del Cloud Act. Gli unici servizi soggetti agli Stati Uniti che utilizziamo (GitHub, Cloudflare) gestiscono codice sorgente e registrazioni di dominio, non dati personali dei clienti.

Il nostro obiettivo a lungo termine è eliminare tutte le dipendenze da fornitori soggetti a leggi di sorveglianza extraterritoriali statunitensi.

Documenti legali e politiche

Segnala un problema di sicurezza

Prendiamo la sicurezza sul serio e apprezziamo la divulgazione responsabile. Se scopri una vulnerabilità, ti preghiamo di contattarci direttamente.

[email protected]

Glossario

GDPR
Regolamento generale sulla protezione dei dati: la legge completa dell'UE sulla protezione dei dati che disciplina la raccolta, il trattamento e la conservazione dei dati personali dei residenti dell'UE.
Direttiva ePrivacy
Direttiva UE 2002/58/CE che regola la privacy nelle comunicazioni elettroniche, coprendo cookie, tracciamento e riservatezza delle comunicazioni.
CCPA
California Consumer Privacy Act: una legge statale statunitense che concede ai residenti della California diritti sui propri dati personali, incluso il diritto di sapere, cancellare e rifiutare la vendita dei dati.
FISA sezione 702
Foreign Intelligence Surveillance Act, Sezione 702: autorizza le agenzie di intelligence statunitensi a raccogliere comunicazioni di persone non statunitensi situate al di fuori degli Stati Uniti, inclusi i dati detenuti dai fornitori cloud statunitensi, senza mandato.
Cloud act
Clarifying Lawful Overseas Use of Data Act (2018): una legge federale statunitense che consente alle forze dell'ordine americane di obbligare le aziende tecnologiche statunitensi a fornire dati archiviati su server, indipendentemente dal fatto che i dati siano archiviati negli Stati Uniti o all'estero.
LPD (svizzera)
Legge federale sulla protezione dei dati: la legge nazionale svizzera sulla protezione dei dati, che fornisce un livello di protezione riconosciuto come adeguato dall'UE. I fornitori svizzeri non sono soggetti a FISA né al Cloud Act.
DPA
Accordo sul trattamento dei dati: un contratto legalmente vincolante tra un titolare del trattamento e un responsabile del trattamento che descrive come verranno gestiti i dati personali, richiesto ai sensi del GDPR.
SOC 2
Service Organization Control 2: uno standard di audit che valuta i controlli di un'organizzazione relativi a sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy.
ISO 27001
Uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), che fornisce un approccio sistematico alla gestione delle informazioni sensibili dell'azienda.
TLS 1.3
Transport Layer Security versione 1.3: il più recente protocollo crittografico che crittografa i dati in transito tra il browser di un utente e un server.
AES-256
Advanced Encryption Standard con chiavi a 256 bit: un algoritmo di crittografia simmetrica ampiamente affidabile utilizzato per proteggere i dati a riposo.
Merchant of record (moR)
Un'entità terza che gestisce l'elaborazione dei pagamenti, la conformità fiscale e la fatturazione per conto di un venditore, agendo come venditore legale registrato per le transazioni.

Domande sulla sicurezza?

Il nostro team è pronto a discutere le tue esigenze di sicurezza e conformità.