Documento legale
🔒 Sicurezza
La sicurezza dei dati dei nostri utenti è una priorità fondamentale. Di seguito descriviamo le misure tecniche e organizzative adottate da NexusKey.
Ultimo aggiornamento: 30 marzo 2026
Misure tecniche di sicurezza
Crittografia TLS 1.3
Tutte le comunicazioni tra browser e server avvengono tramite TLS 1.3, il protocollo di crittografia più aggiornato. Nessun dato viene trasmesso in chiaro.
Crittografia AES-256 a riposo
I dati memorizzati nel database (Supabase/PostgreSQL) sono crittografati con algoritmo AES-256. Le chiavi di crittografia sono gestite con rotazione periodica.
Hosting certificato EU/CH
La piattaforma è ospitata su infrastrutture certificate ISO 27001 (Vercel CDN, AWS Frankfurt per Supabase). I dati non escono mai dall'area EU/CH.
Autenticazione sicura
Autenticazione gestita da Supabase Auth con token JWT. Disponibile autenticazione a due fattori (2FA) per tutti gli account. Sessioni con scadenza automatica.
Rate limiting e protezione DDoS
Tutte le API sono protette da rate limiting tramite Upstash Redis. Prevenzione automatica di attacchi brute force e flooding sugli endpoint critici.
Controllo accessi per ruolo
Sistema RBAC (Role-Based Access Control) con 3 ruoli (agente, agenzia, privato). Row Level Security (RLS) su tutti i dati nel database Supabase.
Monitoraggio continuo
Monitoraggio real-time degli errori e anomalie tramite Sentry. Alert automatici in caso di comportamenti sospetti, picchi di traffico anomali o errori critici.
Backup automatici giornalieri
Backup giornalieri automatici del database con retention di 30 giorni. Possibilità di ripristino point-in-time in caso di incidente.
Pagamenti PCI DSS
I pagamenti sono gestiti esclusivamente da Stripe (PCI DSS Level 1). NexusKey non memorizza mai dati di carte di credito o bancari.
Audit e penetration test
Test di sicurezza periodici e penetration test sulle componenti critiche. Revisione del codice orientata alla sicurezza (OWASP Top 10).
Misure organizzative
Principio del privilegio minimo
I dipendenti e collaboratori di NexusKey accedono solo ai dati strettamente necessari alle loro mansioni.
Accordi di riservatezza (NDA)
Tutti i collaboratori firmano accordi di riservatezza che disciplinano il trattamento dei dati degli utenti.
Formazione sulla sicurezza
Il team riceve formazione periodica sulle best practice di sicurezza informatica e protezione dei dati.
Gestione degli incidenti
Procedura documentata per la risposta agli incidenti di sicurezza, con notifica all'IFPDT entro 72 ore in caso di data breach rilevante (art. 24 nLPD).
Valutazione dei fornitori
I sub-responsabili del trattamento (Supabase, Stripe, ecc.) vengono valutati per conformità GDPR/nLPD prima dell'integrazione.
Conformità normativa
nLPD
Nuova Legge federale sulla protezione dei dati (CH, 1° set. 2023)
GDPR
Regolamento (UE) 2016/679 sulla protezione dei dati personali
PCI DSS
Standard di sicurezza per i pagamenti con carta (tramite Stripe)
ISO 27001
Standard internazionale per la gestione della sicurezza informatica (hosting)
SOC 2
Certificazione di sicurezza operativa (Supabase, Vercel)
OWASP
Sviluppo conforme alle linee guida OWASP Top 10 per la sicurezza web
🐛 Responsible Disclosure — Segnala una vulnerabilità
Se hai scoperto una potenziale vulnerabilità di sicurezza in NexusKey, ti chiediamo di segnalarla in modo responsabile seguendo queste linee guida:
- Non divulgare pubblicamente la vulnerabilità prima che NexusKey l'abbia corretta e ti abbia comunicato la risoluzione.
- Non accedere, modificare o eliminare dati di altri utenti durante le tue ricerche.
- Non eseguire attacchi DoS o test che possano danneggiare la disponibilità del servizio.
- Invia una descrizione dettagliata della vulnerabilità, incluse le prove di concetto (PoC) e i passi per riprodurla.