Sicurezza.
I tuoi documenti restano in Europa, ogni accesso lascia traccia, ogni sub-processor è dichiarato. Sotto trovi i dettagli — verificabili uno per uno.
In sintesi
Italiano ed europeo.
Sviluppato in Italia
Codice scritto e mantenuto in Italia. Founder italiano. Supporto in italiano, da chi conosce il prodotto.
Solo fornitori europei
Dati, server e backup su Hetzner (Falkenstein, Germania). Conformi al GDPR. Niente passaggi extra-UE.
Dove stanno i tuoi dati
In Germania, due sub-processor in chiaro.
Server in territorio UE presso un solo fornitore. In coda alla sezione, l'elenco completo dei soggetti terzi che toccano i tuoi dati ai fini DPA.
I server e le copie di sicurezza stanno in territorio UE — data center in Germania, presso un fornitore europeo. Niente servizi gestiti americani nel percorso dei dati, nessun transito strutturale fuori dall'Unione Europea.
Snapshot giornalieri sull'istanza primaria, backup off-site su una seconda istanza presso lo stesso fornitore — sempre in territorio UE.
Test restore automatico settimanale, drill di disaster recovery manuale trimestrale. Un backup mai riprovato è fede, non assicurazione.
Sub-processor attivi
- Hetzner Online GmbH
- Hosting applicativo, database, snapshot giornalieri, backup off-site su seconda istanza
- Germania (UE) · Attivo
- Lettermint
- Email transazionali (notifiche, inviti, reset password)
- Lussemburgo / Lituania (UE) · Attivo
Elenco aggiornato dei soggetti terzi coinvolti ai fini DPA. Qualsiasi variazione è comunicata via email ai clienti attivi almeno 30 giorni prima dell'attivazione.
Controlli applicativi
Quello che un auditor ritrova in log.
Isolamento per cliente
Ogni organizzazione lavora in uno spazio dati separato a livello di database (Row-Level Security Postgres). Nessuna query attraversa il confine del tenant.
Audit Trail concatenato
Ogni evento rilevante (upload, modifica policy, export pack, accesso auditor) è registrato e linkato in catena hash. Le alterazioni a posteriori sono rilevabili.
Hash SHA-256 sugli Audit Pack
Ogni Audit Pack riporta un hash riproducibile. L'auditor può ricalcolarlo da terminale e verificare l'integrità anche senza accedere alla piattaforma.
DPA
Accordo sul trattamento dei dati.
Il DPA (Data Processing Agreement) viene firmato con il cliente prima dell'attivazione del servizio. È l'accordo previsto dall'art. 28 GDPR fra Titolare del trattamento (il cliente) e Responsabile del trattamento (FULMINET).
Include: tipologia dei dati trattati, finalità, durata, misure di sicurezza, elenco sub-processor, tempi di notifica dei data breach (entro 72 ore al cliente), destino dei dati alla fine del contratto.
Disponibile su richiesta via email a privacy@comprova.it. Rispondiamo entro 2 giorni lavorativi.
Domande specifiche dal tuo DPO o dal tuo auditor?
Se hanno un elenco di controlli da spuntare, scrivicelo. Rispondiamo voce per voce, con riferimenti alla configurazione reale — non con una brochure generica.