Fa fede la versione tedesca. Questa traduzione ha valore puramente informativo.
Conservazione dati in Svizzera · Crittografia end-to-end · Chiavi HSM proprie · IA solo in Europa · nLPD, GDPR, FINMA-ready · Esercizio su infrastruttura server certificata ISO 27001 e SOC 2 Type II
Conservazione dati in Svizzera
I Suoi dati cliente si trovano in un centro dati certificato a Zurigo. Nessuna trasmissione negli USA o in altri Stati terzi
Crittografia end-to-end
AES-256 nello storage, TLS 1.2+ in linea. Protetti su ogni tratta
Sovranità HSM propria
Le chiavi master si trovano esclusivamente presso di noi in un Hardware Security Module. Neppure il gestore del centro dati accede ai Suoi campi sensibili
IA solo in Europa
Elaborazione IA esclusivamente in un centro dati europeo in Belgio. Prima di ogni richiesta, nomi, AVS, IBAN e indirizzi vengono pseudonimizzati automaticamente
Allineata FINMA e conforme nLPD
Allineata alla Circolare FINMA 2018/3 (Outsourcing) per clienti assicuratori, alla legge sulla protezione dei dati riveduta e al GDPR
Tracciabilità completa
Ogni accesso viene registrato in un audit bucket immutabile — conservato per 10 anni
Ecco come fluiscono i Suoi dati attraverso l'elaborazione IA
Caricare il documento
L'originale rimane in Svizzera
→
Layer di pseudonimizzazione
AVS, nomi, IBAN vengono rimossi prima dell'elaborazione IA
→
Elaborazione IA in Belgio
L'IA elabora solo testo anonimizzato — all'interno dell'UE
→
Risultato in Svizzera
Analisi finita salvata in database svizzero
Sede dei dati e sovranità
I Suoi dati restano in Svizzera — anche l'elaborazione IA avviene in Europa, mai negli USA.
Database e memoria principale in un centro dati svizzero certificato a Zurigo
Elaborazione IA esclusivamente in un centro dati europeo in Belgio
Audit log in Svizzera con conservazione di 10 anni
Nessuna trasmissione di dati negli USA o in altri Stati terzi
Crittografia
La Sua chiave digitale di cassaforte. Nemmeno il gestore del centro dati può leggere i Suoi numeri AVS o IBAN.
Crittografia AES-256 at rest per tutti i dati salvati
Crittografia TLS 1.2+ in transit per tutte le connessioni
Customer-Managed Encryption Keys (CMEK) con chiave HSM propria (FIPS 140-2 Level 3)
Client-Side Field Level Encryption (CSFLE) per i campi particolarmente meritevoli di protezione: numeri AVS, dati di nascita, IBAN, numeri di polizze assicurative, denunce di sinistro
Chiavi protette HSM con rotazione automatica ogni 90 giorni
Sovranità sulle chiavi propria — le chiavi master si trovano esclusivamente presso di noi, non presso il gestore del centro dati; il database può essere reso crittograficamente illeggibile in qualsiasi momento (revoca della chiave)
Sicurezza di rete
Il nostro database non è raggiungibile dall'Internet aperto.
Private networking — database mai raggiungibile tramite Internet pubblico
Connessione cloud privata — il database non è raggiungibile tramite Internet pubblico, bensì solo tramite un tunnel di rete interno e privato
Infrastruttura isolata di rete in Svizzera
Risoluzione DNS privata — gli indirizzi vengono risolti solo all'interno della rete interna
IA con protezione dei dati
Prima che un documento vada all'IA, nomi, numeri AVS e indirizzi vengono rimossi.
Modelli IA esclusivamente in centri dati europei (sede Belgio)
Anonimizzazione automatica tramite un filtro DLP a monte (Data Loss Prevention) prima di ogni richiesta IA
Pseudonimizzazione di dati meritevoli di protezione (AVS, nomi, IBAN, indirizzi) prima di andare all'IA
Nessun addestramento su dati dei clienti — escluso contrattualmente
Pattern personalizzati svizzeri (numero AVS, IDI) vengono riconosciuti e mascherati
Controllo degli accessi
Ogni mandante è separato tecnicamente. Il login a 2 fattori è obbligatorio.
Multi-Factor Authentication (MFA) per tutti i collaboratori
Role-Based Access Control (RBAC) secondo il principio del least-privilege
Strict Tenant Isolation — separazione multi-mandante a livello di dati
Service account separati con permessi minimi
Service account KMS dedicati per le operazioni di crittografia
Utenti di database separati per app, analytics e backup
Audit e monitoraggio
Ogni accesso viene registrato — 10 anni in modo immutabile.
Verbalizzazione hash chain di tutte le mutazioni tecniche nonché di tutti gli accessi a dati particolarmente meritevoli di protezione (read_sensitive); in aggiunta auditing del database lato server a livello di infrastruttura
Piattaforma di log centrale con conservazione a lungo termine
Audit bucket immutabile con retention di 10 anni
Monitoraggio 24/7 dell'infrastruttura
Backup e disaster recovery
Backup quotidiani, anch'essi cifrati, restano in Svizzera.
Continuous backup con point-in-time recovery
Backup in Svizzera — nessuna replica cross-region al di fuori di CH/UE
Backup cifrati con le stesse chiavi HSM in autogestione
Bucket di storage versionati (ransomware-resistenti)
Archivio file
I file non sono mai pubblici. I link di upload valgono al massimo 15 minuti.
Public Access Prevention obbligatoriamente attivo
Controllo accessi unitario a livello di container — nessun file accidentalmente reso pubblico
Customer-Managed Encryption Keys anche per l'archivio file
Signed URL con breve validità (max. 15 minuti per gli upload)
Lifecycle rule per dati temporanei
Access logging su audit bucket separato
Compliance framework
Infrastruttura verificata secondo standard svizzeri, UE e internazionali.
Conforme nLPD (legge svizzera sulla protezione dei dati)
Conforme GDPR
ISO 27001 + SOC 2 Type II — l'intera infrastruttura server e pipeline su cui opera SOTHURA SAFE è ospitata in centri dati certificati ISO 27001 e SOC 2 Type II
Circolare FINMA 2018/3 Outsourcing — allineata ai requisiti per clienti assicuratori
Standard Contractual Clauses (SCC) ove necessario
Trasparenza e diritti degli utenti
Informazione, cancellazione, esportazione — evase in al massimo 30 giorni.
Informazione, rettifica, cancellazione in ≤ 30 giorni
Portabilità dei dati — esportazione dei propri dati possibile in qualsiasi momento
Incident reporting alle autorità di vigilanza e alle persone interessate — il più rapidamente possibile (art. 24 nLPD); in caso di rilevanza UE in aggiunta entro 72 ore (GDPR art. 33)
Cancellazione crittografica mediante revoca della chiave
Misure organizzative
Contratti, formazioni e registri secondo la legge svizzera sulla protezione dei dati.
Contratti di trattamento dei dati (DPA) con tutti i sub-fornitori
Valutazione d'impatto sulla protezione dei dati (DPIA) documentata
Registro dei trattamenti (ROPA) tenuto
Formazioni dei collaboratori su protezione dei dati e sicurezza
Background check per persone con accesso ai dati produttivi
Catalogo vincolante di security gate
Ogni modifica del prodotto viene verificata, prima della messa in esercizio, contro un catalogo di security gate fissi — automatizzato e a prova di revisione.
SG-001 — Gli accessi non autenticati a route protette del portale vengono respinti (test E2E di redirect)
SG-002 — Tenant fail-closed: senza contesto tenant nessun accesso ai dati (test di integrazione)
SG-003 — Accesso cross-tenant strettamente respinto (test int e E2E negativi, 403)
SG-004 — Logout invalida la sessione attiva lato server
SG-005 — Token non come strategia primaria nello storage del browser
SG-006 — Endpoint IA solo autenticati e con tenant scope (401/403)
SG-007 — Gli accessi tramite signed URL hanno tenant scope (401/403)
SG-008 — Build e test pipeline verde (tsc, lint, test int, test E2E)
SG-009 — Smoke runtime sulla revisione deployata (HTTP 401/403/redirect contro prod e staging)
Contatto Security e responsible disclosure
Per i ricercatori di sicurezza e le richieste di due diligence è disponibile un canale dedicato.
Rispondiamo a segnalazioni qualificate entro tre giorni lavorativi. La preghiamo di indicare un percorso di riproduzione chiaramente descritto, il componente interessato e — ove possibile — una valutazione dell'impatto.
Safe harbor. Non perseguiamo civilmente o penalmente i ricercatori di sicurezza, sempre che (i) la segnalazione avvenga in buona fede, (ii) vengano utilizzati esclusivamente account di test propri, (iii) nessun dato di cliente terzo venga visionato, copiato o divulgato, (iv) non avvengano test denial-of-service o attacchi di social engineering verso i collaboratori e (v) sia concesso un termine ragionevole per la risoluzione prima della divulgazione pubblica. Test di penetrazione non autorizzati, lo sfruttamento di vulnerabilità oltre la profondità necessaria per la segnalazione nonché l'estrazione di dati di terzi sono inammissibili e vengono perseguiti penalmente (art. 143, 143bis, 144bis CP).