Specifiche Tecniche di Compliance e Sicurezza

Il presente documento descrive le misure tecniche e organizzative adottate dalla piattaforma Allvi per garantire la protezione dei dati personali e sanitari, in conformità con il GDPR e le linee guida AgID per la Sanità Digitale.

1. Sicurezza dell’Infrastruttura

  • Hosting: Google Cloud Platform (GCP) - Regione: europe-west3 (Francoforte).
  • Certificazioni: GCP è certificato ISO 27001, 27017, 27018 e SOC 1/2/3.
  • Isolamento: Ogni ambiente (Sviluppo, Staging, Produzione) è isolato tramite progetti GCP separati.

2. Protezione dei Dati in Transito e a Riposo

  • Dati in transito: Tutte le comunicazioni tra client e server avvengono esclusivamente tramite protocollo HTTPS con crittografia TLS 1.2 o superiore.
  • Dati a riposo: Il database Firestore utilizza la crittografia automatica gestita da Google (AES-256).
  • Backup: Backup giornalieri automatici con policy di conservazione di 30 giorni.

3. Gestione degli Accessi e Identità

  • Autenticazione: Gestita tramite Firebase Auth con supporto a standard JWT.
  • Ruoli (RBAC): Implementazione di regole di sicurezza Firestore che garantiscono che solo il medico proprietario o autorizzato possa accedere ai dati dei propri pazienti.
  • Isolamento Organizzativo: I dati dei pazienti sono segregati a livello di organizationId. Un professionista può accedere ai dati di un paziente solo se quest’ultimo è registrato presso un’organizzazione in cui il professionista ha un ruolo attivo.
  • MFA (Roadmap): Integrazione obbligatoria dell’autenticazione a due fattori per gli utenti professionali.

4. Minimizzazione e Audit

  • Minimizzazione: I dati raccolti sono limitati a quanto strettamente necessario per la prenotazione (Art. 5 GDPR).
  • Audit Logging (Roadmap): Implementazione di un sistema di log immutabile per il tracciamento degli accessi ai dati sanitari (chi, quando, quale risorsa).

5. Disaster Recovery

Allvi adotta le procedure di Disaster Recovery native di Google Cloud, garantendo un RPO (Recovery Point Objective) di 24 ore e un RTO (Recovery Time Objective) inferiore alle 12 ore per i servizi core.

This site uses Just the Docs, a documentation theme for Jekyll.