Trattiamo i tuoi dati come vorremmo fossero trattati i nostri.
Conservazione dei dati a Zurigo su ogni piano, elaborazione in Svizzera e nell'UE. Sviluppato secondo gli standard GDPR e nLPD. DPA-PDF scaricato in due clic. Elenco trasparente di tutti i sub-responsabili. Ciò che altrove costa un sovrapprezzo Enterprise da noi è scontato.
I quattro pilastri
La sicurezza non è una funzione. È architettura.
Dati in Svizzera
- Regione Supabase eu-central-2 a Zurigo
- I backup rimangono nell'UE
- Nessun trasferimento di dati negli USA per i tuoi contenuti
- Residenza dei dati vincolabile per workspace (Business)
Crittografia
- TLS 1.3 per ogni connessione
- AES-256 per i dati a riposo
- Backup crittografati
- Token di sessione ruotati + cookie HTTPS-only
Gestione delle identità
- Password con hash bcrypt (12 round)
- Autenticazione multi-fattore via TOTP
- Single Sign-On via SAML 2.0 (Business)
- Ruoli granulari Owner, Admin, Member, Ospite
Verificabilità
- Log delle attività completo per workspace
- 30 giorni di retention su Team, illimitato su Business
- Export in CSV o JSON
- Tentativi di login e chiamate API registrati
Matrice di conformità
Gli standard che soddisfiamo — senza asterischi.
Trasparenza totale sullo stato attuale. Ciò che non è certificato, lo diciamo anche.
| Standard | Regione | Stato | Dettagli |
|---|---|---|---|
| DSGVO | UE | Allineato | Sviluppato secondo i requisiti GDPR: DPA secondo art. 28 disponibile, export dei dati secondo art. 20, concetto di cancellazione secondo art. 17. Nessuna certificazione esterna — stato trasparente. |
| revDSG | Svizzera | Allineato | Sviluppato secondo i requisiti della legge svizzera riveduta sulla protezione dei dati (in vigore dal 1° settembre 2023): conservazione dei dati in Svizzera, diritti di accesso e cancellazione implementati. |
| GDPR (UK) | Regno Unito | Allineato | Il UK GDPR è equivalente al GDPR; le misure GDPR si applicano di conseguenza. International Data Transfer Agreement (IDTA) su richiesta. |
| ISO 27001 | Internazionale | In preparazione | La preparazione all'audit è in corso. Prevista per Q4/2026. Il sub-responsabile Supabase è già certificato ISO 27001. |
| SOC 2 Type II | USA | In preparazione | Audit preparatori Q2/2026. Certificazione prevista Q1/2027. |
| C5 Testat | Germania | Roadmap | Cloud Computing Compliance Criteria Catalogue. Roadmap 2027 per clienti pubblici. |
Sub-responsabili
Chi tratta quali dati — elencato integralmente.
Non nascondiamo nulla nelle note a piè di pagina — qui c'è ogni fornitore i cui server toccano i nostri dati, con finalità e sede.
Frontend ≠ conservazione dei dati — in breve
Un IP-lookup di flenio.ch mostra il nostro frontend — cioè la distribuzione del sito tramite Vercel (calcolo a Francoforte, UE). La rete Edge di Vercel è registrata presso AWS, perciò vi compare un identificativo AWS/Amazon. Questo non è il luogo in cui si trovano i tuoi dati.
I tuoi dati — database e archivio file — si trovano presso Supabase nella regione eu-central-2 (Zurigo). Verificabile tramite l'host del database db.<progetto>.supabase.co. La residenza dei dati si riferisce a questa conservazione, non alla distribuzione del sito.
Supabase
Database PostgreSQL, Auth, Storage, Realtime
eu-central-2 (Zurigo, Svizzera)
Vercel
Hosting del frontend, rete Edge
Francoforte, Germania (fra1)
Stripe
Elaborazione pagamenti (solo se piano a pagamento)
Irlanda (UE)
Resend
E-mail transazionali incl. e-mail di auth (registrazione, inviti, notifiche)
UE eu-west-1 (Irlanda)
Anthropic
Funzioni IA (FlenioAI) — solo in caso di uso attivo, disattivabile per workspace, nessun training con dati dei clienti
USA (DPA incl. Standard Contractual Clauses)
L'elenco completo e aggiornato con i dettagli di contatto e l'ultimo audit si trova nel Trust Center.
Vulnerability Disclosure
Trovata una falla di sicurezza? Faccelo sapere.
Crediamo nella divulgazione responsabile. I ricercatori di sicurezza che segnalano falle in modo responsabile vengono elencati con il loro consenso nella Hall of Fame e li ringraziamo con un bug bounty di CHF 100 (o un anno Team gratis).
Contatto sicurezza
Scrivici a security@flenio.ch. Chiave PGP su richiesta. Risposta entro 24h lavorative.
Cosa non vale
Vulnerabilità teoriche senza proof-of-concept, DDoS volumetrico, Self-XSS via estensioni del browser, nonché tutto ciò che rientra nel social engineering.
Domande sull'architettura o sul DPA?
Se il tuo reparto conformità ha bisogno di risposte dettagliate, scrivici. Per audit bancari, fiduciari o pubblici prepariamo volentieri un briefing tecnico.