Trust center
La trasparenza è al centro di tutto ciò che facciamo. Esplora le nostre pratiche di sicurezza, lo stato di conformità e le misure che adottiamo per proteggere i tuoi dati.
Sicurezza in sintesi
Crittografia dei dati
Tutti i dati sono crittografati in transito con TLS 1.3 e a riposo con crittografia AES-256.
Infrastruttura
Ospitato su infrastruttura basata nell'UE con CDN Bunny.net per prestazioni globali e protezione DDoS.
Controllo degli accessi
Autenticazione multifattore, controlli di accesso basati sui ruoli e registrazione audit completa.
Privacy by design
Raccolta dati minima, nessun cookie di tracciamento e architettura orientata alla privacy fin dalla progettazione.
Risposta agli incidenti
Processo documentato di risposta agli incidenti con impegno di notifica delle violazioni entro 24 ore.
Monitoraggio continuo
Scansione automatizzata delle vulnerabilità, audit delle dipendenze e valutazioni di sicurezza continue.
Conformità e normative
Ci impegniamo a soddisfare e superare i requisiti normativi. Di seguito è riportato il nostro stato di conformità attuale.
GDPR
Piena conformità al Regolamento generale sulla protezione dei dati dell'UE, inclusa la minimizzazione dei dati, la gestione del consenso e i diritti degli interessati.
Direttiva ePrivacy
Conforme ai requisiti ePrivacy dell'UE. Le nostre analisi funzionano senza cookie di tracciamento.
CCPA
Conformità al California Consumer Privacy Act con pratiche di dati trasparenti e diritti degli utenti.
SOC 2 Type II
La certificazione di audit SOC 2 Type II è prevista come parte della nostra roadmap di sicurezza.
ISO 27001
La certificazione per la gestione della sicurezza delle informazioni è prevista come parte della nostra roadmap di conformità.
Sub-responsabili
Crediamo nella piena trasparenza riguardo ai servizi di terze parti che utilizziamo per fornire la nostra piattaforma. Tutti i sub-responsabili sono vincolati da accordi sul trattamento dei dati.
| Fornitore | Scopo | Posizione | Giurisdizione | Dati trattati |
|---|---|---|---|---|
| Scaleway | Infrastruttura cloud (Kubernetes, PostgreSQL, MySQL, NATS, registro immagini) | UE (francia) | Solo UE | Tutti i dati applicativi |
| Bunny.net | CDN e DNS | UE (slovenia) | Solo UE | Metadati delle richieste, indirizzi IP |
| Proton | E-mail e spazio di lavoro | Svizzera | LPD (svizzera) | Comunicazioni e-mail |
| Paddle | Elaborazione pagamenti (merchant of record) | Regno unito | Regno unito (no FISA) | Dati di fatturazione e pagamento |
| GitHub | Repository di codice | USA | FISA sezione 702 / Cloud act | Codice sorgente, dati di sviluppo |
| Billy | Contabilità | UE (danimarca) | Solo UE | Dati finanziari e di fatturazione |
| Simply.com | Registrar di domini (domini principali) | UE (danimarca) | Solo UE | Dati di registrazione del dominio |
| Cloudflare | Registrar di domini (TLD di marchio) | USA | FISA sezione 702 / Cloud act | Dati di registrazione del dominio |
Forniamo un preavviso di almeno 30 giorni per qualsiasi modifica ai nostri sub-responsabili, come descritto nel nostro Accordo sul trattamento dei dati.
Il nostro approccio alla sovranità dei dati
I fornitori con sede negli Stati Uniti sono soggetti a FISA Sezione 702 e al Cloud Act, che possono imporre la divulgazione dei dati indipendentemente da dove sono archiviati. La posizione del server da sola non protegge i dati da queste leggi. FISA Cloud Act
Lavoriamo attivamente per ridurre al minimo la nostra dipendenza da servizi soggetti alla giurisdizione statunitense. La nostra infrastruttura principale (hosting, database, CDN, DNS, e-mail e pagamenti) è gestita esclusivamente da fornitori con sede nell'UE, al di fuori della portata di FISA e del Cloud Act. Gli unici servizi soggetti agli Stati Uniti che utilizziamo (GitHub, Cloudflare) gestiscono codice sorgente e registrazioni di dominio, non dati personali dei clienti.
Il nostro obiettivo a lungo termine è eliminare tutte le dipendenze da fornitori soggetti a leggi di sorveglianza extraterritoriali statunitensi.
Documenti legali e politiche
Informativa sulla privacy
Scopri come raccogliamo, utilizziamo e proteggiamo i tuoi dati mantenendo il nostro impegno per l'analisi con priorità alla privacy.
Termini di servizio
Le regole e le linee guida che governano l'uso dei nostri servizi, inclusi i tuoi diritti e responsabilità.
Politica dei dati
Informazioni dettagliate su come elaboriamo i dati e il nostro approccio alla minimizzazione dei dati e alla sicurezza.
Accordo per il trattamento dei dati
Il nostro DPA standard per i clienti che devono conformarsi alle normative sulla protezione dei dati come il GDPR.
Politica di sicurezza
Il nostro impegno per le migliori pratiche di sicurezza e come proteggiamo i tuoi dati da accessi non autorizzati.
Politica sul marchio
Scopri il marchio Infobits, le linee guida per l'uso corretto e come fare riferimento correttamente ai nostri asset di marca.
Segnala un problema di sicurezza
Prendiamo la sicurezza sul serio e apprezziamo la divulgazione responsabile. Se scopri una vulnerabilità, ti preghiamo di contattarci direttamente.
[email protected]Glossario
- GDPR
- Regolamento generale sulla protezione dei dati: la legge completa dell'UE sulla protezione dei dati che disciplina la raccolta, il trattamento e la conservazione dei dati personali dei residenti dell'UE.
- Direttiva ePrivacy
- Direttiva UE 2002/58/CE che regola la privacy nelle comunicazioni elettroniche, coprendo cookie, tracciamento e riservatezza delle comunicazioni.
- CCPA
- California Consumer Privacy Act: una legge statale statunitense che concede ai residenti della California diritti sui propri dati personali, incluso il diritto di sapere, cancellare e rifiutare la vendita dei dati.
- FISA sezione 702
- Foreign Intelligence Surveillance Act, Sezione 702: autorizza le agenzie di intelligence statunitensi a raccogliere comunicazioni di persone non statunitensi situate al di fuori degli Stati Uniti, inclusi i dati detenuti dai fornitori cloud statunitensi, senza mandato.
- Cloud act
- Clarifying Lawful Overseas Use of Data Act (2018): una legge federale statunitense che consente alle forze dell'ordine americane di obbligare le aziende tecnologiche statunitensi a fornire dati archiviati su server, indipendentemente dal fatto che i dati siano archiviati negli Stati Uniti o all'estero.
- LPD (svizzera)
- Legge federale sulla protezione dei dati: la legge nazionale svizzera sulla protezione dei dati, che fornisce un livello di protezione riconosciuto come adeguato dall'UE. I fornitori svizzeri non sono soggetti a FISA né al Cloud Act.
- DPA
- Accordo sul trattamento dei dati: un contratto legalmente vincolante tra un titolare del trattamento e un responsabile del trattamento che descrive come verranno gestiti i dati personali, richiesto ai sensi del GDPR.
- SOC 2
- Service Organization Control 2: uno standard di audit che valuta i controlli di un'organizzazione relativi a sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy.
- ISO 27001
- Uno standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), che fornisce un approccio sistematico alla gestione delle informazioni sensibili dell'azienda.
- TLS 1.3
- Transport Layer Security versione 1.3: il più recente protocollo crittografico che crittografa i dati in transito tra il browser di un utente e un server.
- AES-256
- Advanced Encryption Standard con chiavi a 256 bit: un algoritmo di crittografia simmetrica ampiamente affidabile utilizzato per proteggere i dati a riposo.
- Merchant of record (moR)
- Un'entità terza che gestisce l'elaborazione dei pagamenti, la conformità fiscale e la fatturazione per conto di un venditore, agendo come venditore legale registrato per le transazioni.
Domande sulla sicurezza?
Il nostro team è pronto a discutere le tue esigenze di sicurezza e conformità.