I dati di chi entra in azienda sono dati personali di terzi. Noi li trattiamo con il rispetto e la rigorosità che meritano.
Informativa esplicita ad ogni accesso. Consenso registrato. Retention configurabile (default 12 mesi). Diritti GDPR (artt. 15-22) gestiti tramite il modulo di contatto.
TLS 1.3 end-to-end con certificati Let's Encrypt rinnovati automaticamente. HSTS attivo. I dati non transitano mai in chiaro tra browser e server, né tra server e provider email.
Hash bcrypt (cost 12). Cambio password forzato al primo login. Lockout dopo 8 tentativi falliti. Constant-time login per evitare timing attack.
CSRF protection, rate limiting per IP, honeypot e min-time sui form pubblici. Audit log delle anomalie pronto per la threat intelligence.
HSTS, Content Security Policy, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin, Permissions-Policy. Set completo attivo su tutte le risposte.
Ogni azione su ogni utente è tracciata: login, conferma visita, export, modifica utente, cambio configurazione. Esportabile per compliance.
Datacenter in Italia/UE. I dati personali non escono mai dall'Unione Europea, in linea con i requisiti del Reg. 679/16.
Snapshot del database con retention configurabile in offerta. RPO/RTO definiti contrattualmente in funzione del piano e del livello di SLA scelto dal Cliente.
Ogni azienda vede solo i propri dati. Le query sono scoped a livello applicativo e validate ad ogni endpoint.
La trasparenza è il primo requisito di una piattaforma che gestisce dati personali di terzi.
Nome, cognome, eventuali contatti (telefono, email), targa veicolo, tipo e numero documento, motivo della visita, referente aziendale, lingua, timestamp di ingresso/uscita, IP del dispositivo del visitatore (per anti-abuso).
Legittimo interesse del Titolare alla sicurezza dei luoghi di lavoro (art. 6.1.f Reg. UE 679/16) per la generalità dei dati. Consenso esplicito per i dati facoltativi.
Il periodo di conservazione è definito dal Tenant come Titolare del Trattamento, in coerenza con il principio di minimizzazione (art. 5.1.e GDPR). Il valore di default proposto è 12 mesi, modificabile in funzione delle esigenze di compliance settoriale del Cliente. Al termine della retention i dati vengono cancellati automaticamente.
Accesso, rettifica, cancellazione, limitazione, portabilità. Le richieste si gestiscono attraverso l'email di contatto del DPO indicata nell'informativa di ogni tenant.
Hosting (datacenter UE), invio email transazionali (provider EU). L'elenco completo è disponibile nel DPA che firmi al setup.
Per gli enti pubblici e i settori regolamentati prepariamo un Data Processing Agreement su misura, in italiano o inglese.
Richiedi il DPA →