Documento legale
Informativa sulla Sicurezza
Ultimo aggiornamento: 22 maggio 2026 · Versione 1.0 · security@synqo-one.com
3.0 SRL, proprietaria della piattaforma Synqo One, adotta un approccio proattivo alla sicurezza. Questo documento descrive le misure tecniche e organizzative implementate per proteggere la piattaforma, i dati degli utenti e le infrastrutture di elaborazione.
1. Misure tecniche
🔒
HTTPS e TLS
Tutte le comunicazioni tra browser e server sono crittografate tramite TLS 1.2 o superiore. Il protocollo HTTP non è accettato — ogni richiesta viene reindirizzata automaticamente su HTTPS.
🔑
Crittografia password
Le password degli utenti non sono mai conservate in chiaro. Vengono cifrate con algoritmi di hashing robusti (bcrypt) con salt individuale per ogni account.
💾
Backup crittografati
I backup del database vengono eseguiti quotidianamente, cifrati a riposo, e conservati in posizioni geograficamente separate. I backup vengono verificati periodicamente.
🧱
Firewall e isolamento
Il server di produzione è protetto da firewall a livello di rete. Solo le porte necessarie (443, 80) sono esposte pubblicamente. Il database non è accessibile dall'esterno.
🔐
Sessioni sicure
I token di sessione sono generati con entropia sufficiente, hanno scadenza automatica, e sono invalidati al logout. I cookie di sessione usano i flag HttpOnly e Secure.
🛡️
Protezione API
Le API interne sono protette da autenticazione obbligatoria. Le credenziali marketplace degli utenti (es. Temu API Key) sono conservate in forma cifrata nel database.
2. Misure organizzative
2.1 Controllo degli accessi
- I dati degli utenti sono accessibili solo al personale di 3.0 SRL che ne ha necessità operativa (principio del minimo privilegio).
- L'accesso amministrativo all'infrastruttura avviene esclusivamente tramite chiavi SSH — le password di accesso SSH sono disabilitate.
- Gli accessi amministrativi sono registrati e soggetti a revisione periodica.
- Il personale con accesso ai sistemi di produzione è soggetto a obblighi di riservatezza.
2.2 Autenticazione
- L'autenticazione all'area amministrativa richiede credenziali forti e, ove disponibile, autenticazione a due fattori (2FA).
- Tentativi di accesso falliti ripetuti attivano meccanismi di protezione automatici (rate limiting, blocco temporaneo).
2.3 Aggiornamenti e patch
- Il sistema operativo e i pacchetti software sono aggiornati regolarmente con patch di sicurezza.
- Le dipendenze del codice applicativo sono monitorate per vulnerabilità note (CVE).
- Gli aggiornamenti critici di sicurezza vengono applicati entro 48 ore dalla pubblicazione.
2.4 Fornitori e terze parti
- I fornitori che trattano dati per conto di 3.0 SRL (hosting, pagamenti) sono selezionati sulla base delle loro certificazioni e garanzie di sicurezza.
- Il provider di hosting (Hetzner) è certificato ISO 27001 e opera in data center europei.
- I pagamenti sono gestiti da Stripe, certificato PCI-DSS Level 1.
3. Monitoraggio e logging
- I log di accesso al server e all'applicazione sono conservati per 12 mesi.
- Anomalie negli accessi (tentativi falliti, pattern insoliti, IP sospetti) generano alert automatici.
- Il monitoraggio dell'uptime e delle prestazioni avviene in tempo reale, con notifiche immediate in caso di anomalie.
4. Gestione degli incidenti di sicurezza
In caso di violazione dei dati o incidente di sicurezza, seguiamo il seguente processo:
- Rilevamento e contenimento — l'incidente viene identificato, classificato e isolato il prima possibile per limitare l'impatto.
- Valutazione — analisi della natura, portata e tipologia dei dati coinvolti entro le prime ore dall'incidente.
- Notifica all'Autorità — se l'incidente comporta un rischio per i diritti degli interessati, notifica al Garante per la Protezione dei Dati entro 72 ore dalla scoperta (art. 33 GDPR).
- Notifica agli utenti — se il rischio per i diritti degli interessati è elevato, comunicazione diretta agli utenti coinvolti senza ingiustificato ritardo (art. 34 GDPR).
- Remediation e post-mortem — risoluzione della vulnerabilità, rafforzamento delle misure preventive, documentazione dell'incidente.
5. Disponibilità e continuità del servizio
- L'infrastruttura è ospitata su server dedicati Hetzner con garanzie di uptime elevate.
- I backup giornalieri consentono il ripristino dei dati in caso di guasto hardware o altri eventi avversi.
- Le manutenzioni programmate sono comunicate agli utenti con almeno 24 ore di anticipo tramite email.
6. Segnalazione di vulnerabilità
Se ritieni di aver individuato una vulnerabilità di sicurezza nella piattaforma Synqo One gestita da 3.0 SRL, ti chiediamo di segnalarla in modo responsabile (responsible disclosure) prima di renderla pubblica:
- Invia una email a security@synqo-one.com con una descrizione dettagliata della vulnerabilità.
- Ci impegniamo a rispondere entro 48 ore e a tenerti aggiornato sullo stato di risoluzione.
- Non intraprenderemo azioni legali contro chi segnala in buona fede vulnerabilità nel rispetto di queste linee guida.
7. Aggiornamenti a questa informativa
Questa informativa viene aggiornata periodicamente per riflettere l'evoluzione delle misure di sicurezza adottate. La data di "ultimo aggiornamento" in cima indica la versione più recente. Per modifiche sostanziali, gli utenti saranno notificati via email.
8. Contatti
Per qualsiasi domanda relativa alla sicurezza della piattaforma: security@synqo-one.com
Per questioni generali: info@synqo-one.com
3.0 SRL — Via Canaletta, 49 — 40027 Mordano (BO) — Italia — P.IVA 03685161204