Sicurezza della Piattaforma

🔒

Autenticazione e Accesso

L'accesso a tutte le applicazioni della suite avviene esclusivamente tramite credenziali individuali assegnate a ciascun operatore.

• Ogni utente dispone di un account personale con email e password dedicati
• Il sistema di autenticazione rileva automaticamente i tentativi ripetuti di accesso non autorizzato e blocca temporaneamente l'account dopo un numero limitato di errori consecutivi
• Un meccanismo di limitazione delle richieste impedisce attacchi automatizzati al sistema di login
• Al primo accesso e al cambio di password, le credenziali vengono gestite esclusivamente in forma cifrata

🔐

Crittografia delle Comunicazioni

Tutte le comunicazioni tra il browser dell'utente e i nostri server avvengono attraverso connessioni cifrate con protocollo TLS/HTTPS.

• I certificati digitali sono gestiti automaticamente e rinnovati senza interruzioni del servizio
• I dati in transito (login, documenti, operazioni) non possono essere intercettati da soggetti non autorizzati
• Il reindirizzamento automatico da HTTP a HTTPS garantisce che ogni connessione sia sempre protetta

👥

Controllo degli Accessi

Il sistema implementa un modello di controllo degli accessi basato su ruoli, che garantisce che ogni utente possa accedere esclusivamente alle informazioni e alle funzionalità di propria competenza.

• Ruoli differenziati: amministratore, operatore, tecnico — ciascuno con permessi specifici e appropriati alle proprie mansioni
• Permessi per applicazione: l'accesso a ciascuna app della suite viene abilitato individualmente per ogni utente
• Regole di accesso ai dati: ogni richiesta di lettura o scrittura viene verificata in tempo reale per garantire che l'utente sia autorizzato all'operazione
• Separazione dei dati: le informazioni finanziarie, tecniche e operative sono segmentate e accessibili solo agli utenti abilitati

🛡

Protezione dei Dati e delle Applicazioni

La piattaforma integra diverse tecnologie di protezione a livello applicativo per prevenire le principali tipologie di attacco informatico.

• Firewall applicativo (CSP): impedisce il caricamento di codice non autorizzato, limitando l'esecuzione a risorse esplicitamente approvate
• Protezione da clickjacking: le pagine della suite non possono essere incorporate in siti di terzi per ingannare gli utenti
• Protezione da Cross-Site Scripting (XSS): tutti i dati inseriti dagli utenti vengono sanificati prima della visualizzazione
• Politiche CORS restrittive: solo i domini autorizzati possono comunicare con le nostre API
• Limitazione caricamenti: i file inviati al sistema sono soggetti a vincoli di dimensione e tipologia

👁

Monitoraggio e Audit

Tutte le operazioni sensibili vengono registrate in un registro di audit consultabile dagli amministratori del sistema.

• Ogni accesso al sistema viene registrato con data, ora e indirizzo IP
• Le operazioni su dati sensibili (gestione utenti, documenti finanziari, contatti) vengono tracciate automaticamente
• Il registro di audit è protetto da scrittura: solo il sistema può inserire nuove voci, nessun utente può modificarle o cancellarle
• Gli amministratori possono consultare lo storico completo delle operazioni per finalità di controllo e conformità

🗃

Conservazione e Cancellazione dei Dati

La piattaforma applica una politica di conservazione automatica dei dati, nel rispetto del principio di minimizzazione previsto dal GDPR.

La cancellazione dei dati soggetti a scadenza avviene in modo automatico e programmato, senza necessità di intervento manuale.

🔍

Test e Verifiche di Sicurezza

La sicurezza della piattaforma viene verificata periodicamente attraverso test di penetrazione e scansioni automatizzate condotte con strumenti professionali di settore.

• Scansione automatizzata degli header di sicurezza su tutti i domini della suite
• Penetration test con strumenti specifici per applicazioni web
• Verifica delle policy CORS e dei redirect HTTPS
• Analisi delle vulnerabilità note su tutti gli endpoint esposti

✅

Conformità Normativa

• GDPR (Reg. UE 2016/679): informativa privacy disponibile, registro dei trattamenti, consensi tracciati e conservati, diritti degli interessati garantiti
• Impegno di riservatezza: tutto il personale che accede alla piattaforma è soggetto a vincoli di riservatezza contrattuale
• Responsabili del trattamento: i fornitori di servizi cloud (Google, Anthropic) sono nominati responsabili del trattamento ai sensi dell'art. 28 GDPR, con contratti conformi alle clausole contrattuali standard
• Tracciamento disabilitato: la piattaforma non utilizza cookie di profilazione, tracker di terze parti o strumenti di analisi comportamentale

☁

Infrastruttura e Hosting

La piattaforma ACG Suite è ospitata su Google Cloud Platform (tramite Firebase), una delle infrastrutture cloud più sicure e certificate al mondo.

• Data center in Europa: i dati sono elaborati e conservati nella regione europea di Google Cloud, nel rispetto della normativa sulla protezione dei dati
• Disponibilità garantita: l'infrastruttura offre alta disponibilità e ridondanza automatica dei dati
• Certificazioni: l'infrastruttura Google Cloud dispone di certificazioni ISO 27001, SOC 1/2/3, e conformità agli standard PCI DSS
• Backup automatici: i dati vengono salvati con procedure di backup automatiche e regolari

✉

Segnalazioni di Sicurezza

Se ritieni di aver individuato una vulnerabilità o un problema di sicurezza nella piattaforma, ti invitiamo a segnalarlo tempestivamente al nostro team.