Sicurezza e Privacy
su ISMS Copilot
Sviluppiamo strumenti di conformità per professionisti della sicurezza. La sicurezza dei vostri dati non è solo una funzionalità — è il nostro fondamento.
Piena conformità GDPR con DPA disponibile
Residenza dati completamente UE con Protezione Avanzata
Fornitori di infrastruttura (AWS, Supabase) dispongono di attestazioni SOC 2 Type II
Penetration test indipendente dell'applicazione web da NevaSec. Nessun rilievo di gravità critica o alta.
Pratiche di Sicurezza
Come proteggiamo i vostri dati di conformità
Crittografia in transito
Tutte le connessioni protette con TLS 1.3. Nessun dato non crittografato lascia il vostro browser.
Crittografia a riposo
Crittografia AES-256 per tutti i dati archiviati. Database e archiviazione file crittografati per impostazione predefinita.
Sicurezza a livello di riga
Isolamento degli accessi a livello di database. Gli utenti possono accedere solo ai propri dati.
Data center UE
Infrastruttura principale ospitata a Francoforte, Germania (AWS EU-Central-1). I dati rimangono nell'UE.
Infrastruttura SOC 2 Type II
Basata su Supabase e AWS, entrambi con attestazione SOC 2 Type II. Sicurezza enterprise di default.
Nessun addestramento IA
I vostri dati non vengono mai utilizzati per addestrare modelli IA. Tutti i fornitori IA sono contrattualmente vincolati.
Redazione PII
La redazione PII integrata rimuove automaticamente i dati personali sensibili prima che raggiungano i fornitori IA.
Penetration test indipendente: NevaSec, aprile 2026
NevaSec ha eseguito nell'aprile 2026 un penetration test esterno della nostra applicazione web, API REST e backend IA. Non sono stati identificati percorsi di sfruttamento non autenticati né scenari immediati di compromissione dell'account. Il rilievo di gravità media è stato oggetto di remediation, e le attività di remediation per i restanti rilievi di gravità bassa sono in corso.
Residenza dei Dati
Scegliete dove vengono elaborati i vostri dati
Modalità Standard
- DatabaseEUUE (Francoforte)
- Archiviazione fileEUUE (Francoforte)
- Elaborazione IAUSAnthropic Claude (diretto) e OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (allowlist + ZDR)
- Conservazione IA30 giorni
- Moderazione contenutiEUMistral AI
- Failover IAEUMistral AI (UE)
- Garanzie dei datiClausole Contrattuali Standard
Protezione Avanzata dei Dati
- DatabaseEUUE (Francoforte)
- Archiviazione fileEUUE (Francoforte)
- Elaborazione IAEUSolo Mistral AI
- Conservazione IANessuna conservazione
- Moderazione contenutiEUMistral AI
- Failover IAEUMistral AI (UE)
- Trasferimenti USAEliminati
Il database e l'archiviazione file sono sempre ospitati nell'UE (Francoforte, Germania), indipendentemente dalla modalità selezionata.
I metadati di moderazione vengono conservati 12 mesi per la revisione di sicurezza (nessun contenuto del messaggio). I thread con messaggi segnalati sono bloccati dall'eliminazione da parte dell'utente. Vedere DPA §2.8.
Gli indirizzi e-mail sono elaborati da SendGrid e Kit (USA) con Clausole Contrattuali Standard in tutte le modalità.
Sub-responsabili
Servizi di terze parti che trattano dati per nostro conto
| Servizio | Finalità | Posizione | Conservazione |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the seven allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Together AI | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | USUnited States (default North America data centers per Together docs; OR aggregator does not pin region per request) | Zero retention |
| ↳ Fireworks AI | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | USUnited States — multi-region fleet (US, EU Frankfurt + Iceland, APAC Tokyo only — no PRC infrastructure; OR aggregator does not pin region per request) | Zero retention |
| ↳ Nebius | AI Processing (via OpenRouter, ZDR enforced; added 2026-05-25, effective 2026-06-25 per DPA pending amendment) | GlobalNetherlands HQ; primary inference in Finland (EU) with US secondary per Nebius docs (OR aggregator does not pin region per request) | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Integrazioni attivate dal cliente
Attive per i suoi dati solo quando la sua organizzazione le installa.
| Servizio | Finalità | Posizione | Conservazione |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Ultimo aggiornamento: aprile 2026 · Preavviso di 30 giorni prima dell'aggiunta di nuovi sub-responsabili. Le integrazioni attivate dal cliente non sono soggette a questa regola perché nessun dato fluisce finché la sua organizzazione non le installa esplicitamente.
Contenuti di terze parti
Contenuti open source e Creative Commons integrati nella piattaforma, con attribuzione ai manutentori originali.
Skill Revisione del rapporto SOC 2
Adatta il SOC 2 Reliability Rubric mantenuto dal SOC 2 Quality Guild. La tassonomia a 11 segnali e i pilastri Structure / Substance / Source provengono dal rubric del Guild; il flusso conversazionale, i verdetti e la scorecard sono l'adattamento di questo progetto. In conformità con CC BY-SA 4.0 §3(b)(1), questo adattamento è pubblicato anch'esso sotto CC BY-SA 4.0.
Documenti Legali
Documentazione di trasparenza disponibile per la consultazione
Accordo sul Trattamento dei Dati
DPA conforme all'articolo 28 del GDPR
Informativa sulla Privacy
Come raccogliamo, utilizziamo e proteggiamo i vostri dati
Informativa sui cookie
Come questo Trust Center usa i cookie e come gestire le tue scelte
Termini di Servizio
Termini che regolano l'uso di ISMS Copilot
Registro delle Attività di Trattamento
RoPA completo di tutte le operazioni di trattamento
Conformità della proprietà intellettuale
Come acquisiamo gli standard, proteggiamo i diritti di PI nelle nostre indicazioni IA e diamo credito ai contenuti di terze parti
Registro delle modifiche dei documenti legali
Riepilogo cumulativo delle revisioni dei nostri documenti legali