Doppio ruolo. Per i dati dell'account (chi si registra) il fornitore è titolare. Per i dati che il cliente carica in piattaforma — anagrafiche di aziende clienti, fornitori, referenti, evidenze — il fornitore è responsabile del trattamento ai sensi dell'art. 28 GDPR: quel trattamento è regolato dal DPA, che è parte integrante dei Termini di servizio.
| Categoria | Dati | Fonte |
|---|---|---|
| Account | nome dell'organizzazione, referente, email, password (conservata solo in forma cifrata con algoritmo scrypt) | registrazione dell'utente |
| Dati di compliance | anagrafiche di aziende e fornitori, valutazioni, evidenze, incidenti, note | inseriti dall'utente (trattati come responsabile — vedi DPA) |
| Evidenze tecniche (connettore M365, facoltativo) | configurazioni di sicurezza in sola lettura (utenti, ruoli amministrativi, report MFA, Secure Score); nessun contenuto di email o documenti | Microsoft Graph, previo consenso dell'amministratore del tenant |
| Abbonamento | identificativo cliente Stripe e stato dell'abbonamento (mai i dati completi della carta) | Stripe, al momento dell'attivazione |
| Log tecnici | registro attività dell'account, sessioni di accesso | generati dall'uso |
Non facciamo profilazione, non vendiamo dati, non inviamo comunicazioni promozionali di terzi.
| Fornitore | Ruolo | Ubicazione dei dati |
|---|---|---|
| Supabase (database) | hosting dei dati applicativi | UE (Francoforte, eu-central-1) |
| Vercel (hosting/API) | front-end e funzioni serverless | UE (Francoforte, fra1) |
| Stripe (pagamenti) | gestione degli abbonamenti: opera come autonomo titolare per i dati di pagamento raccolti sulle sue pagine | UE/USA secondo l'informativa Stripe |
| Anthropic (AI, facoltativa) | elaborazione dei testi delle bozze AI, solo quando l'utente usa le funzioni AI | USA |
| Microsoft (connettore M365, facoltativo) | lettura delle configurazioni di sicurezza autorizzate | tenant Microsoft del cliente |
Database e calcolo applicativo sono in Unione Europea. Alcuni fornitori hanno la casa madre negli Stati Uniti (Vercel, Supabase, Stripe, Anthropic): dove un trasferimento extra-UE avviene, è assistito dalle garanzie degli artt. 44 e ss. GDPR, cioè decisione di adeguatezza per i fornitori aderenti all'EU-U.S. Data Privacy Framework e/o Clausole Contrattuali Standard. In particolare, i testi inviati alle funzioni AI (che possono includere ragioni sociali e descrizioni di incidenti) sono elaborati da Anthropic negli USA solo quando l'utente usa quelle funzioni; per policy dichiarata, Anthropic non usa i dati API per addestrare i propri modelli.
Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (artt. 15-22 GDPR): scrivi a info@nis2suite.it. Hai inoltre il diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it). Se i tuoi dati sono stati caricati in piattaforma da un'azienda o da uno studio (es. sei il referente di un fornitore), il titolare del trattamento è quell'organizzazione: inoltreremo comunque ogni richiesta ricevuta.
Password cifrate (scrypt), sessioni con cookie httpOnly/Secure, connessioni cifrate (HTTPS/TLS), dati in UE, permessi del connettore M365 in sola lettura, accesso al database limitato al server applicativo (Row Level Security attiva). I cookie usati dal sito sono descritti nella cookie policy: solo un cookie tecnico di sessione, nessun tracciamento.
Eventuali modifiche sostanziali a questa informativa saranno comunicate in piattaforma. La versione pubblicata a questo indirizzo è quella vigente.