La fiducia non è una parola di marketing.
È architettura.
Qui trovi tutto ciò di cui i team di conformità, sicurezza e legale hanno bisogno per la loro valutazione fornitore. Senza NDA, senza chiamata commerciale, senza «ne parliamo dopo».
Zürich · Frankfurt · EU
Storage CH, calcolo DE, e-mail UE
Monitoraggio dello stato
Probe esterne ogni 60 sec — Vercel Edge in 5 regioni
Zürich · Frankfurt · EU
Storage CH, calcolo DE, e-mail UE
Conformità & certificazioni
Cosa forniamo – e cosa è in programma.
Non nascondiamo nulla. Se qualcosa non c'è ancora, lo diciamo – con una data.
GDPR + nLPD
Conformità LPD svizzera (nLPD) e GDPR UE di serie – non come add-on.
DPA secondo art. 28 GDPR
Accordo sul trattamento incluso – anche nel piano Free. Download in PDF in chiaro.
Residenza dei dati Svizzera
Tutti i contenuti vengono archiviati di default a Zurigo (Supabase eu-central-2).
Multi-Factor Authentication
2FA basata su TOTP (Google Authenticator, 1Password, Authy) gratuita per tutti i piani.
SAML 2.0 SSO
Single Sign-On via SAML per i piani Business (Microsoft Entra, Okta, Google Workspace).
Audit trail
Log delle attività completo con filtro per workspace ed export CSV.
Penetration test (terze parti)
Pen-test previsto nel Q4/2026 da un lab di sicurezza CH certificato. Sommario dei risultati pubblico.
ISO 27001 (roadmap)
Certificazione in preparazione. I controlli sono già implementati.
Sub-responsabili · art. 28 GDPR
Chi tratta tecnicamente i tuoi dati.
Elenco completo e aggiornato dei responsabili del trattamento con sede e rispettivo link DPA.
| Sub-responsabile | Finalità | Sede | DPA |
|---|---|---|---|
| Supabase Inc. | Database + Auth | Zurigo (eu-central-2) · CH | AGB + DPA |
| Vercel Inc. | Hosting + calcolo | Francoforte (fra1) · DE | AGB + DPA |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti | Dublino · IE | AGB + DPA |
| Resend Inc. | E-mail transazionali incl. e-mail di auth | UE eu-west-1 (Irlanda) | AGB + DPA |
| Anthropic PBC | Inferenza IA — solo in caso di uso attivo, disattivabile per workspace; nessun training con dati dei clienti | USA · DPA incl. SCC | AGB + DPA |
Le modifiche a questo elenco vengono comunicate con 30 giorni di anticipo via e-mail ai proprietari di workspace. Il diritto di opposizione secondo l'art. 28 par. 2 GDPR rimane valido.
Pratiche di sicurezza
Cosa gira sotto il cofano.
Crittografia
- TLS 1.3 in transito tra browser e server
- AES-256 a riposo (database + storage)
- Hash delle password via bcrypt + salt
- Segreti via Vercel Environment Variables, mai nel codice
Controllo degli accessi
- Row Level Security (RLS) a livello Postgres per ogni tabella
- Isolamento dei workspace: nessun utente può leggere i dati di altri workspace
- Chiave Service-Role solo nel codice lato server, mai nel browser
- 2FA opzionale via TOTP, SAML SSO opzionale nel piano Business
Infrastruttura
- Storage hosting: Supabase, Zurigo (eu-central-2), CH
- Calcolo hosting: Vercel, Francoforte (fra1), DE
- Backup: crittografati quotidianamente, conservazione 30 giorni
- Disaster recovery RPO ≤ 24h, RTO ≤ 4h
Risposta agli incidenti
- Obbligo di notifica 24h secondo l'art. 33 GDPR agli admin di workspace
- Incidenti di sicurezza interamente registrati nell'audit trail interno
- Post-mortem pubblici in caso di incidenti maggiori sulla pagina di stato
- Bug Bounty: security@flenio.ch · divulgazione responsabile, trattamento equo garantito
Domande del team conformità?
Rispondiamo di norma entro 24h. Anche in inglese. Compiliamo volentieri i questionari fornitori (CAIQ, VSA, SIG-Lite).