FlenioFlenio
Sicurezza + conformità

Trattiamo i tuoi dati come vorremmo fossero trattati i nostri.

Conservazione dei dati a Zurigo su ogni piano, elaborazione in Svizzera e nell'UE. Sviluppato secondo gli standard GDPR e nLPD. DPA-PDF scaricato in due clic. Elenco trasparente di tutti i sub-responsabili. Ciò che altrove costa un sovrapprezzo Enterprise da noi è scontato.

I quattro pilastri

La sicurezza non è una funzione. È architettura.

Dati in Svizzera

  • Regione Supabase eu-central-2 a Zurigo
  • I backup rimangono nell'UE
  • Nessun trasferimento di dati negli USA per i tuoi contenuti
  • Residenza dei dati vincolabile per workspace (Business)

Crittografia

  • TLS 1.3 per ogni connessione
  • AES-256 per i dati a riposo
  • Backup crittografati
  • Token di sessione ruotati + cookie HTTPS-only

Gestione delle identità

  • Password con hash bcrypt (12 round)
  • Autenticazione multi-fattore via TOTP
  • Single Sign-On via SAML 2.0 (Business)
  • Ruoli granulari Owner, Admin, Member, Ospite

Verificabilità

  • Log delle attività completo per workspace
  • 30 giorni di retention su Team, illimitato su Business
  • Export in CSV o JSON
  • Tentativi di login e chiamate API registrati

Matrice di conformità

Gli standard che soddisfiamo — senza asterischi.

Trasparenza totale sullo stato attuale. Ciò che non è certificato, lo diciamo anche.

StandardRegioneStatoDettagli
DSGVOUEAllineatoSviluppato secondo i requisiti GDPR: DPA secondo art. 28 disponibile, export dei dati secondo art. 20, concetto di cancellazione secondo art. 17. Nessuna certificazione esterna — stato trasparente.
revDSGSvizzeraAllineatoSviluppato secondo i requisiti della legge svizzera riveduta sulla protezione dei dati (in vigore dal 1° settembre 2023): conservazione dei dati in Svizzera, diritti di accesso e cancellazione implementati.
GDPR (UK)Regno UnitoAllineatoIl UK GDPR è equivalente al GDPR; le misure GDPR si applicano di conseguenza. International Data Transfer Agreement (IDTA) su richiesta.
ISO 27001InternazionaleIn preparazioneLa preparazione all'audit è in corso. Prevista per Q4/2026. Il sub-responsabile Supabase è già certificato ISO 27001.
SOC 2 Type IIUSAIn preparazioneAudit preparatori Q2/2026. Certificazione prevista Q1/2027.
C5 TestatGermaniaRoadmapCloud Computing Compliance Criteria Catalogue. Roadmap 2027 per clienti pubblici.

Sub-responsabili

Chi tratta quali dati — elencato integralmente.

Non nascondiamo nulla nelle note a piè di pagina — qui c'è ogni fornitore i cui server toccano i nostri dati, con finalità e sede.

Frontend ≠ conservazione dei dati — in breve

Un IP-lookup di flenio.ch mostra il nostro frontend — cioè la distribuzione del sito tramite Vercel (calcolo a Francoforte, UE). La rete Edge di Vercel è registrata presso AWS, perciò vi compare un identificativo AWS/Amazon. Questo non è il luogo in cui si trovano i tuoi dati.

I tuoi dati — database e archivio file — si trovano presso Supabase nella regione eu-central-2 (Zurigo). Verificabile tramite l'host del database db.<progetto>.supabase.co. La residenza dei dati si riferisce a questa conservazione, non alla distribuzione del sito.

Supabase

Database PostgreSQL, Auth, Storage, Realtime

eu-central-2 (Zurigo, Svizzera)

SOC 2HIPAAISO 27001

Vercel

Hosting del frontend, rete Edge

Francoforte, Germania (fra1)

SOC 2PCI DSS

Stripe

Elaborazione pagamenti (solo se piano a pagamento)

Irlanda (UE)

PCI DSS Level 1SOC 1+2

Resend

E-mail transazionali incl. e-mail di auth (registrazione, inviti, notifiche)

UE eu-west-1 (Irlanda)

SOC 2

Anthropic

Funzioni IA (FlenioAI) — solo in caso di uso attivo, disattivabile per workspace, nessun training con dati dei clienti

USA (DPA incl. Standard Contractual Clauses)

SOC 2

L'elenco completo e aggiornato con i dettagli di contatto e l'ultimo audit si trova nel Trust Center.

Vulnerability Disclosure

Trovata una falla di sicurezza? Faccelo sapere.

Crediamo nella divulgazione responsabile. I ricercatori di sicurezza che segnalano falle in modo responsabile vengono elencati con il loro consenso nella Hall of Fame e li ringraziamo con un bug bounty di CHF 100 (o un anno Team gratis).

Contatto sicurezza

Scrivici a security@flenio.ch. Chiave PGP su richiesta. Risposta entro 24h lavorative.

Cosa non vale

Vulnerabilità teoriche senza proof-of-concept, DDoS volumetrico, Self-XSS via estensioni del browser, nonché tutto ciò che rientra nel social engineering.

Domande sull'architettura o sul DPA?

Se il tuo reparto conformità ha bisogno di risposte dettagliate, scrivici. Per audit bancari, fiduciari o pubblici prepariamo volentieri un briefing tecnico.