FlenioFlenio
Trust Center · ultimo aggiornamento 07 luglio 2026

La fiducia non è una parola di marketing.È architettura.

Qui trovi tutto ciò di cui i team di conformità, sicurezza e legale hanno bisogno per la loro valutazione fornitore. Senza NDA, senza chiamata commerciale, senza «ne parliamo dopo».

Zürich · Frankfurt · EU

Storage CH, calcolo DE, e-mail UE

Monitoraggio dello stato

Probe esterne ogni 60 sec — Vercel Edge in 5 regioni

Zürich · Frankfurt · EU

Storage CH, calcolo DE, e-mail UE

Conformità & certificazioni

Cosa forniamo – e cosa è in programma.

Non nascondiamo nulla. Se qualcosa non c'è ancora, lo diciamo – con una data.

Attivo

GDPR + nLPD

Conformità LPD svizzera (nLPD) e GDPR UE di serie – non come add-on.

Attivo

DPA secondo art. 28 GDPR

Accordo sul trattamento incluso – anche nel piano Free. Download in PDF in chiaro.

Attivo

Residenza dei dati Svizzera

Tutti i contenuti vengono archiviati di default a Zurigo (Supabase eu-central-2).

Attivo

Multi-Factor Authentication

2FA basata su TOTP (Google Authenticator, 1Password, Authy) gratuita per tutti i piani.

Attivo

SAML 2.0 SSO

Single Sign-On via SAML per i piani Business (Microsoft Entra, Okta, Google Workspace).

Attivo

Audit trail

Log delle attività completo con filtro per workspace ed export CSV.

Q4/2026

Penetration test (terze parti)

Pen-test previsto nel Q4/2026 da un lab di sicurezza CH certificato. Sommario dei risultati pubblico.

Roadmap

ISO 27001 (roadmap)

Certificazione in preparazione. I controlli sono già implementati.

Sub-responsabili · art. 28 GDPR

Chi tratta tecnicamente i tuoi dati.

Elenco completo e aggiornato dei responsabili del trattamento con sede e rispettivo link DPA.

Sub-responsabileFinalitàSedeDPA
Supabase Inc.Database + AuthZurigo (eu-central-2) · CHAGB + DPA
Vercel Inc.Hosting + calcoloFrancoforte (fra1) · DEAGB + DPA
Stripe Payments Europe Ltd.Elaborazione pagamentiDublino · IEAGB + DPA
Resend Inc.E-mail transazionali incl. e-mail di authUE eu-west-1 (Irlanda)AGB + DPA
Anthropic PBCInferenza IA — solo in caso di uso attivo, disattivabile per workspace; nessun training con dati dei clientiUSA · DPA incl. SCCAGB + DPA

Le modifiche a questo elenco vengono comunicate con 30 giorni di anticipo via e-mail ai proprietari di workspace. Il diritto di opposizione secondo l'art. 28 par. 2 GDPR rimane valido.

Pratiche di sicurezza

Cosa gira sotto il cofano.

Crittografia

  • TLS 1.3 in transito tra browser e server
  • AES-256 a riposo (database + storage)
  • Hash delle password via bcrypt + salt
  • Segreti via Vercel Environment Variables, mai nel codice

Controllo degli accessi

  • Row Level Security (RLS) a livello Postgres per ogni tabella
  • Isolamento dei workspace: nessun utente può leggere i dati di altri workspace
  • Chiave Service-Role solo nel codice lato server, mai nel browser
  • 2FA opzionale via TOTP, SAML SSO opzionale nel piano Business

Infrastruttura

  • Storage hosting: Supabase, Zurigo (eu-central-2), CH
  • Calcolo hosting: Vercel, Francoforte (fra1), DE
  • Backup: crittografati quotidianamente, conservazione 30 giorni
  • Disaster recovery RPO ≤ 24h, RTO ≤ 4h

Risposta agli incidenti

  • Obbligo di notifica 24h secondo l'art. 33 GDPR agli admin di workspace
  • Incidenti di sicurezza interamente registrati nell'audit trail interno
  • Post-mortem pubblici in caso di incidenti maggiori sulla pagina di stato
  • Bug Bounty: security@flenio.ch · divulgazione responsabile, trattamento equo garantito

Domande del team conformità?

Rispondiamo di norma entro 24h. Anche in inglese. Compiliamo volentieri i questionari fornitori (CAIQ, VSA, SIG-Lite).