Indice documentiSistema Finestra Vendite

Sicurezza

Versione: 1.0Ultimo aggiornamento: 26 maggio 2026

Titolare: BAUTRUST AG, Via San Gottardo 10, 6900 Lugano (Svizzera), CHE-282.456.034.

1. Misure adottate

  • Isolamento multi-tenant: i dati di ogni Cliente sono separati a livello di database tramite policy Row Level Security (RLS) di Postgres su Supabase. Un Cliente non puo accedere ai dati di un altro Cliente.
  • Crittografia at-rest: i dati archiviati (anagrafiche, listini, stime, asset di branding) sono cifrati sull'infrastruttura del database tramite i meccanismi nativi di Supabase.
  • Crittografia in transit: traffico HTTPS obbligatorio (TLS 1.2 minimo). Connessioni HTTP non crittografate non sono accettate.
  • Autenticazione: magic-link OTP via email gestito da Supabase Auth. Signup pubblico disabilitato: l'accesso al Servizio avviene su invito esplicito di Bautrust.
  • Render PDF server-side con HMAC print token: la generazione del PDF brandizzato e protetta da un token HMAC firmato a tempo, evitando di esporre la service-role key lato client. Il sistema applica fail-fast in assenza di chiave HMAC configurata in ambiente, evitando fallback insicuri.
  • Backup giornalieri a rotazione 30 giorni, gestiti da Supabase su storage separato dall'istanza principale.

2. Provider di infrastruttura

I provider utilizzati (Supabase per database/auth/storage, Vercel per hosting/serverless/render PDF, OpenRouter come proxy LLM, Google come provider del modello Gemini) dispongono di certificazioni di sicurezza riconosciute pubblicamente (SOC 2, ISO 27001 o equivalenti) come dichiarato dai rispettivi provider. La lista completa e i rispettivi ruoli sono pubblicati alla pagina /subprocessor.

3. Violazioni dei dati (data breach)

In caso di violazione con rischio per i diritti delle persone fisiche, notifichiamo l'Autorita Garante competente entro 72 ore (art. 33 GDPR / art. 24 nLPD) e gli interessati senza indebito ritardo. La procedura interna di gestione breach copre rilevazione, classificazione del rischio, notifica e remediation.

4. Segnalazione vulnerabilita

Hai trovato una potenziale vulnerabilita? Scrivi a assistenza@gruppoalberti.it con oggetto [SECURITY] indicando descrizione, passi per riprodurre, impatto stimato. Risposta entro 5 giorni lavorativi. Nessuna azione legale verso ricercatori che segnalano in buona fede.

5. Responsabilita condivisa

Noi: sicurezza infrastruttura, isolamento tenant, crittografia, gestione breach, aggiornamenti delle dipendenze, hardening dell'API e del render PDF.
Tu: protezione dell'email associata all'account magic-link, custodia del dispositivo da cui ricevi i magic-link, gestione degli accessi del tuo team, qualita dei dati che inserisci in piattaforma e relativa base giuridica per i dati di soggetti terzi.

BAUTRUST AG - Via San Gottardo 10, 6900 Lugano, Svizzera - assistenza@gruppoalberti.it