Datenlöschdienst

Sicurezza

La protezione dei vostri dati è la nostra massima priorità. Come azienda svizzera che tratta dati personali per conto dei propri clienti, ci affidiamo a misure tecniche e organizzative multilivello conformi allo stato dell'arte.

1. Crittografia dei dati

  • In transito: Tutte le connessioni tra il vostro browser e i nostri server sono crittografate esclusivamente tramite TLS 1.3. Le versioni di protocollo più vecchie non sono supportate. HSTS è attivato.
  • A riposo: Tutti i dati nel nostro database sono crittografati con AES-256. Anche i backup sono archiviati in forma crittografata.
  • Password: Le password degli utenti sono memorizzate esclusivamente come hash bcrypt. Le password in chiaro non vengono mai persistite.

2. Controllo degli accessi

  • Row Level Security (RLS): A livello di database, la Row Level Security garantisce che ogni utente autenticato possa accedere esclusivamente ai propri dati. Queste politiche sono applicate lato server e non possono essere aggirate lato client.
  • Controllo degli accessi basato sui ruoli (RBAC): Gli accessi interni a sistemi e dati seguono il principio del privilegio minimo. Ogni collaboratore riceve solo le autorizzazioni strettamente necessarie per il suo ruolo.
  • Autenticazione multi-fattore (MFA): La MFA è obbligatoria per tutti gli accessi amministrativi a infrastruttura, database e servizi di terze parti.

3. Archiviazione e cancellazione dei dati

Trattiamo i dati personali secondo il principio della minimizzazione dei dati e li cancelliamo non appena la finalità è raggiunta:

  • Documenti d'identità (copie di documenti) vengono automaticamente cancellati entro 90 giorni dal caricamento o dopo il raggiungimento dello scopo di verifica.
  • Analisi gratuite senza vincolo di account vengono automaticamente rimosse dopo 30 giorni.
  • Risultati di scansione vengono conservati fino alla cancellazione dell'account o fino a 12 mesi dopo l'ultima scansione, a seconda di quale evento si verifichi prima.
  • Dati di log del server vengono cancellati dopo 14 giorni.

I periodi di conservazione completi si trovano nella nostra Informativa sulla privacy (Sezione 6).

4. Infrastruttura

  • Hosting del database: Supabase con sede a Francoforte (UE/SEE). Nessun archiviazione di dati personali al di fuori del SEE senza garanzie adeguate.
  • Hosting dell'applicazione: Vercel con rete edge. Per qualsiasi trattamento negli USA si applicano le clausole contrattuali tipo dell'UE (SCC).
  • Aggiornamenti regolari: Le dipendenze e gli ambienti di runtime vengono continuamente aggiornati per chiudere tempestivamente le vulnerabilità di sicurezza note.

5. Responsabili del trattamento

Lavoriamo esclusivamente con responsabili del trattamento accuratamente verificati, ciascuno coperto da un accordo sul trattamento dei dati (DPA). L'elenco attuale di tutti i responsabili del trattamento è disponibile in qualsiasi momento:

Registro dei responsabili del trattamento →

6. Divulgazione responsabile

Prendiamo sul serio le segnalazioni di sicurezza. Se scoprite una vulnerabilità di sicurezza nei nostri sistemi, vi preghiamo di segnalarla in modo responsabile:

Vi preghiamo di concederci un tempo ragionevole per correggere il problema prima di rendere pubblici i dettagli. Ci impegniamo a esaminare e risolvere tempestivamente le vulnerabilità segnalate.

7. Conformità

Le nostre misure di sicurezza sono allineate ai requisiti delle seguenti normative:

  • nLPD / LPD Legge federale svizzera sulla protezione dei dati (in vigore dal 1° settembre 2023), in particolare l'art. 8 (Sicurezza dei dati)
  • GDPR Regolamento generale sulla protezione dei dati dell'UE, in particolare l'art. 32 (Sicurezza del trattamento)

Ulteriori informazioni sulle nostre misure di protezione dei dati si trovano nella nostra Informativa sulla privacy.

Stato: aprile 2026