Sicurezza

Dati a Francoforte, non a Palo Alto.

Non è una casella di compliance. È ingegneria. Questa pagina elenca le scelte tecniche concrete che proteggono i tuoi dati, con i dettagli che un CIO vuole vedere prima di firmare.

Dove vivono i dati

  • Server primari Hetzner Online GmbH, Norimberga e Helsinki (UE).
  • Backup giornalieri cifrati su Cloudflare R2 (Francoforte).
  • CDN e edge cache Vercel su regioni UE quando possibile (cdg1 Parigi primario).
  • Mai trasferimenti extra-UE per dati clienti senza SCC firmate.

Cifratura

  • TLS 1.3 in transit per tutto il traffico web.
  • AES-256 at-rest su database Postgres.
  • Password hash bcrypt cost 12.
  • JWT firmati HS256 con rotation mensile del secret.
  • Cookie HTTP-only, Secure, SameSite=Lax.

Modelli AI e training

  • I tuoi dati non vengono usati per addestrare modelli (né i nostri né quelli dei provider).
  • DPA firmati con Anthropic, OpenAI e tutti i provider LLM.
  • Opt-out esplicito da training richiesto a livello di organizzazione API.
  • Log delle chiamate LLM salvati solo per debug, retention 30 giorni.
  • Embedding vettoriali del tuo contenuto restano nel tuo tenant isolato.

Controllo accessi

  • Row Level Security Postgres attiva su tutte le tabelle multi-tenant.
  • OAuth scope minimi per ogni integrazione (Gmail readonly + modify archive, non send/delete).
  • 2FA obbligatorio per account admin/super-admin.
  • Audit log di tutte le azioni admin, retention 12 mesi, export GDPR disponibile.
  • System user Meta/Google mai con credenziali amministratore, solo advertiser/editor.

Compliance

  • GDPR: titolare 0 IDENTITY SRL, DPO interno, base giuridica contratto + legittimo interesse.
  • AI Act EU 2024: classificazione interna degli agenti (limited risk per la maggior parte), disclosure AI in ogni output automatico.
  • Nessun dato sanitario o categorie particolari trattato senza esplicita richiesta scritta.
  • Retention policy dichiarata nella Privacy Policy.
  • Export dati completo in JSON/CSV entro 7 giorni dalla richiesta.

Security disclosure responsabile

Se hai trovato una vulnerabilità, scrivici a security@0identitystudios.com con dettagli tecnici. Rispondiamo entro 24 ore. Non perseguiamo security researcher in buona fede (safe harbor).

PGP key disponibile su richiesta.