Specifiche Tecniche di Compliance e Sicurezza

Il presente documento descrive le misure tecniche e organizzative adottate dalla piattaforma Allvi per garantire la protezione dei dati personali, in conformità con il GDPR.

1. Sicurezza dell’Infrastruttura

• Hosting: Google Cloud Platform (GCP) - Regione: europe-west3 (Francoforte).
• Certificazioni: GCP è certificato ISO 27001, 27017, 27018 e SOC 1/2/3.
• Isolamento: Ogni ambiente (Sviluppo, Staging, Produzione) è isolato tramite progetti GCP separati.

2. Protezione dei Dati in Transito e a Riposo

• Dati in transito: Tutte le comunicazioni tra client e server avvengono esclusivamente tramite protocollo HTTPS con crittografia TLS 1.2 o superiore.
• Dati a riposo: Il database Firestore utilizza la crittografia automatica gestita da Google (AES-256).
• Backup: Backup giornalieri automatici con policy di conservazione di 30 giorni.

3. Gestione degli Accessi e Identità

• Autenticazione: Gestita tramite Firebase Auth con supporto a standard JWT.
• Ruoli (RBAC): Implementazione di regole di sicurezza Firestore che garantiscono che solo l’organizzazione proprietaria o autorizzata possa accedere ai dati dei propri utenti.
• Isolamento Organizzativo: I dati degli utenti sono segregati a livello di organizationId. Un membro può accedere ai dati di un utente solo se quest’ultimo è registrato presso un’organizzazione in cui il membro ha un ruolo attivo.
• MFA (Roadmap): Integrazione obbligatoria dell’autenticazione a due fattori per gli utenti professionali.

4. Minimizzazione e Audit

• Minimizzazione: I dati raccolti sono limitati a quanto strettamente necessario per l’erogazione del servizio (Art. 5 GDPR).
• Audit Logging (Roadmap): Implementazione di un sistema di log immutabile per il tracciamento degli accessi ai dati (chi, quando, quale risorsa).

5. Disaster Recovery

Allvi adotta le procedure di Disaster Recovery native di Google Cloud, garantendo un RPO (Recovery Point Objective) di 24 ore e un RTO (Recovery Time Objective) inferiore alle 12 ore per i servizi core.