Sicurezza e protezione dei dati

Crittografia

Tutto il traffico verso i nostri servizi è cifrato in transito con protocolli TLS moderni. I dati personali ad alta sensibilità (es. codice fiscale, IBAN, credenziali di accesso a portali) sono cifrati a riposo a livello applicativo con algoritmi di cifratura autenticata. Le chiavi di cifratura sono separate dai dati e gestite con controlli di accesso dedicati.

Isolamento multi-tenant

I dati di ogni studio sono isolati a livello applicativo e di database: nessuno studio può accedere a dati di altri studi. Ogni operazione è verificata server-side rispetto al contesto autenticato dell'utente.

Autenticazione

L'autenticazione è gestita tramite un provider di identity SaaS certificato SOC 2, con supporto a 2FA (TOTP) attivabile e configurabile come obbligatoria a livello di studio.

Pagamenti

I pagamenti sono processati interamente da un provider PCI-DSS Level 1. Allega non memorizza numeri di carta. Ai clienti che richiedono di archiviare valori sensibili attraverso i campi della pratica si applica la cifratura applicativa con audit log su ogni accesso ai dati in chiaro.

Antivirus

Ogni file caricato dai clienti viene scansionato in modo asincrono. I file rilevati come potenzialmente dannosi vengono messi automaticamente in quarantena e non sono scaricabili.

Audit log

Ogni operazione effettuata da un membro dello studio è tracciata con utente, indirizzo IP, user-agent, timestamp ed entità interessata. Lo studio può consultare i propri log dalla dashboard. I log sono in modalità append-only.

Backup e continuità

Backup giornalieri cifrati e replicati off-site su provider di storage certificato. Le finestre di obiettivo (RPO ≤ 24 ore, RTO target 4 ore) sono dichiarate nel DPA per clienti enterprise.

Ubicazione dei dati

Tutti i sistemi che trattano dati personali risiedono nello Spazio Economico Europeo. Nessun dato personale viene trasferito al di fuori dell'UE.

Diritti GDPR

Lo studio può esercitare i diritti degli artt. 15-22 GDPR direttamente dall'applicazione (esportazione e cancellazione). Richieste articolate possono essere indirizzate a privacy@allega.it.

Gestione incidenti

In caso di violazione di dati personali con rischio per i diritti e le libertà degli interessati, applichiamo l'art. 33 GDPR notificando il titolare entro 72 ore dalla scoperta e, ove applicabile, il Garante Privacy. La comunicazione include natura dell'evento, categorie di dati e interessati coinvolti, misure adottate.

Segnalazione vulnerabilità

Se trovi una vulnerabilità di sicurezza, ti chiediamo di segnalarla in modo responsabile a security@allega.it prima di renderla pubblica. Confermiamo ricezione entro 48 ore lavorative.

Categorie di test esplicitamente non autorizzati senza accordo scritto:

• Test di carico che impattino l'esperienza degli altri utenti.
• Tentativi di phishing o ingegneria sociale verso dipendenti o clienti.
• Accesso a dati di clienti reali. Ricerca su account di test creati ad-hoc dal ricercatore.
• Esecuzione di malware o ransomware.

Vendor critici

I fornitori esterni utilizzati appartengono alle seguenti categorie e sono tutti certificati secondo standard di settore (SOC 2, ISO 27001, PCI-DSS a seconda del servizio):

• Identity provider per autenticazione
• Payment processor per pagamenti
• Object storage per archiviazione file
• Email transactional provider
• Database managed enterprise

L'elenco nominativo dei vendor con i relativi certificati è disponibile per clienti enterprise sotto accordo di riservatezza.

Audit indipendenti

Audit interni di sicurezza vengono eseguiti regolarmente dal nostro team. Penetration test esterni indipendenti sono pianificati con cadenza annuale. Eventuali certificazioni verranno comunicate solo a seguito di rilascio formale da parte degli auditor.

Documenti correlati: Informativa Privacy, Data Processing Addendum, Termini di Servizio.

Domande di sicurezza: security@allega.it
Domande privacy / GDPR: privacy@allega.it