Trust Center — Sicurezza e protezione dei dati

Versione del 2026-05-11.

AIComply tratta dati di compliance regolamentare per aziende italiane. La sicurezza e l'integrità di questi dati sono al centro della nostra architettura. Questa pagina descrive in trasparenza le misure tecniche e organizzative che adottiamo.

1. Crittografia

• In transito: HTTPS obbligatorio (HSTS, TLS 1.2+). Connessioni HTTP automaticamente reindirizzate.
• A riposo: AES-256 sui database PostgreSQL gestiti da Supabase.
• Password: salvate con hash bcrypt (work factor adeguato), mai in chiaro.
• Token di sessione: JWT firmati, scadenza configurata.

2. Architettura multi-tenant sicura

• Row Level Security (RLS) PostgreSQL su tutte le tabelle: ogni cliente vede solo i propri dati, anche in caso di bug applicativo.
• Isolamento per organizzazione: ogni risorsa è associata a un organization_id e l'accesso è filtrato a livello database.
• RBAC (Role-Based Access Control): ruoli owner, admin, editor, viewer con privilegi differenziati.

3. Autenticazione

• Password policy: minimo 8 caratteri, almeno una lettera e un numero, blacklist password comuni.
• Multi-Factor Authentication (MFA) — disponibile su richiesta per piano Enterprise.
• Logout su tutti i device disponibile dalla pagina profilo.
• Sessioni con refresh token auto-rotanti.

4. Hardening dell'applicazione

• Content Security Policy (CSP) stretta.
• X-Frame-Options: DENY (no embedding in iframe).
• HSTS: 2 anni, includeSubDomains, preload.
• Permissions-Policy: nessun accesso a camera/microfono/geolocation.
• Rate limiting sugli endpoint pubblici.
• Protezione CSRF su API tramite SameSite cookies.

5. Audit e logging

• Audit log delle azioni significative (creazione/modifica documenti, sistemi AI, formazione, abbonamenti).
• Log di sicurezza con retention 90 giorni e purge automatica.
• Accesso ai log riservato a owner/admin tramite RLS.

6. Backup e disaster recovery

• Backup automatici giornalieri (Supabase managed) cifrati.
• Retention: 7 giorni (Free/Pro), 30 giorni (Enterprise).
• Procedura di restore documentata; test annuale.

7. Sub-processor

Elenco completo e DPA: aicomplyonline.it/legal/sub-processori.

8. Gestione incidenti e responsible disclosure

• Procedura di Data Breach interna allineata agli artt. 33-34 GDPR (notifica al Garante entro 72h).
• Programma di responsible disclosure: vulnerabilità segnalabili a security@aicomplyonline.it.
• Vedi anche /.well-known/security.txt (RFC 9116).

9. Conformità normativa

• GDPR (Reg. UE 2016/679) — Titolare e Responsabile a seconda del trattamento.
• D.lgs. 196/2003 (Codice Privacy).
• Provvedimento Garante 10/6/2021 (cookie).
• Misure di sicurezza ex art. 32 GDPR documentate nella DPIA volontaria.

10. Trasparenza

Per ulteriori dettagli tecnici, audit di sicurezza o richieste di documenti compliance:

• Email: security@aicomplyonline.it
• Privacy: privacy@aicomplyonline.it