Conformità e sicurezza

Ultimo aggiornamento: 2026-03-15

Il nostro impegno per la sicurezza

Veleiras custodisce ricordi profondamente personali. Prendiamo questa responsabilità con la massima serietà e adottiamo misure di sicurezza che rispecchiano standard riconosciuti a livello internazionale.

Questa pagina descrive le pratiche volontarie che seguiamo, allineate ai framework SOC 2, ISO 27001 e al Regolamento Generale sulla Protezione dei Dati (GDPR).

Allineamento al GDPR

Pur operando come servizio volontario, Veleiras applica i principi del Regolamento (UE) 2016/679 alla gestione di tutti i dati personali.

Principi (Art. 5 GDPR) — Trattamento conforme ai principi di liceità, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
Base giuridica (Art. 6 GDPR) — Il trattamento si fonda sul consenso esplicito dell'utente o sull'esecuzione del contratto di servizio.
Minimizzazione dei dati — Raccogliamo esclusivamente i dati necessari per il funzionamento del servizio. Nessun dato superfluo viene richiesto né conservato.
Diritti dell'interessato (Artt. 15–22 GDPR) — Gli utenti possono esercitare in qualsiasi momento il diritto di accesso, rettifica, cancellazione, portabilità e opposizione al trattamento.
Responsabili del trattamento (Art. 28 GDPR) — Tutti i fornitori terzi sono vincolati da accordi sul trattamento dei dati conformi ai requisiti del GDPR.
Crittografia e pseudonimizzazione — I dati personali sono protetti tramite crittografia in transito e a riposo, con tecniche di pseudonimizzazione ove applicabili.
Privacy by design (Art. 25 GDPR) — La protezione dei dati è integrata nell'architettura del sistema fin dalla fase di progettazione.
Notifica di violazione (Art. 33 GDPR) — In caso di violazione dei dati personali, ci impegniamo a notificare l'autorità di controllo competente entro 72 ore e a informare le persone interessate senza ingiustificato ritardo, come previsto dagli Art. 33/34 GDPR.

Controlli allineati a ISO 27001

I nostri controlli tecnici si ispirano all'Annesso A della norma ISO/IEC 27001 per la gestione della sicurezza delle informazioni.

Controllo degli accessi (A.9) — L'accesso al sistema e ai dati è limitato al personale autorizzato tramite ruoli utente e amministratore separati, con privilegi amministrativi riverificati ad ogni richiesta.
Politica sulle password — Le password sono sottoposte ad hashing con algoritmi robusti. Non vengono mai archiviate in chiaro.
Gestione delle sessioni — Le sessioni hanno una durata limitata e vengono invalidate alla disconnessione o dopo un periodo di inattività.
Comunicazioni sicure (A.13) — Tutto il traffico è protetto da TLS 1.2 o versione successiva. Le connessioni non crittografate vengono automaticamente reindirizzate.
Intestazioni di sicurezza — Vengono applicati Content Security Policy, X-Frame-Options, X-Content-Type-Options e Strict-Transport-Security.
Limitazione delle richieste (rate limiting) — Le API e i moduli di accesso sono protetti contro attacchi brute-force tramite limitazione della frequenza delle richieste.
Log di audit (A.12) — Gli eventi di sicurezza come accessi, errori di autenticazione e modifiche ai permessi vengono registrati con timestamp e identificatori pseudonimizzati. Stiamo progressivamente ampliando la copertura di audit a tutti i servizi.
Validazione dell'input — Tutti i dati in ingresso vengono sanificati e validati sia lato client sia lato server per prevenire attacchi di tipo injection.

Principi SOC 2 Trust Services

Le nostre pratiche operative sono allineate ai cinque principi dei servizi fiduciari definiti dall'AICPA.

Sicurezza — I sistemi sono protetti contro l'accesso non autorizzato tramite firewall applicativi, limitazione della frequenza, protezione CSRF e fingerprinting della sessione.
Disponibilità — L'infrastruttura è ospitata presso fornitori che offrono garanzie di alta disponibilità. Stiamo valutando ulteriori misure di ridondanza e backup con la crescita della piattaforma.
Riservatezza — I dati riservati sono protetti tramite crittografia, segmentazione della rete e controlli rigorosi sull'accesso.
Privacy — I dati personali vengono raccolti, utilizzati e conservati in conformità con la nostra informativa sulla privacy e con le normative vigenti.

Infrastruttura e servizi terzi

Veleiras si affida a fornitori di infrastruttura riconosciuti e conformi agli standard di settore.

Hosting — Servizi ospitati su piattaforme con certificazione SOC 2 e ISO 27001, con data center situati nell'UE.
CDN e protezione DDoS — Distribuzione dei contenuti e mitigazione degli attacchi DDoS tramite provider di livello enterprise.
Pagamenti — Le transazioni sono gestite da processori certificati PCI DSS. Nessun dato delle carte di credito viene memorizzato sui nostri server.
Tracciamento — Non utilizziamo servizi di analisi di terze parti, pixel di tracciamento o cookie intersito. I dati di utilizzo aggregati vengono raccolti internamente e in forma anonima ove necessario.

Domande sulla sicurezza

Per domande relative alla sicurezza o alla conformità, La invitiamo a contattarci tramite la pagina dei contatti o all'indirizzo e-mail indicato nell'imprint.

privacy@veleiras.com

Questa pagina descrive pratiche di sicurezza adottate su base volontaria. Non costituisce una garanzia legale né una certificazione formale.

← Torna a Veleiras