Konforme Sicurezza Ultimo aggiornamento aprile 2026

Come proteggiamo i tuoi dati.

Sicurezza in Konforme.

In quanto piattaforma di conformità, ci atteniamo agli stessi standard che aiutiamo i nostri clienti a raggiungere. Tutti i dati vengono elaborati e archiviati all’interno dell’Unione Europea. Seguiamo i principi della privacy by design, crittografiamo tutti i dati a riposo e in transito e manteniamo rigorosi controlli di accesso. Questa pagina descrive le nostre pratiche di sicurezza in dettaglio.

i. Infrastruttura e hosting.
Hosting esclusivamente nell’UE
Tutta l’infrastruttura opera in AWS eu-west-1 (Irlanda). Nessun dato viene trasferito o elaborato in giurisdizioni extra-UE. Il nostro database, i server applicativi e i servizi email risiedono tutti all’interno dell’UE.
Crittografia a riposo
Tutti i dati archiviati nel nostro database PostgreSQL sono crittografati a riposo con AES-256. Le credenziali cloud fornite dagli utenti vengono ulteriormente crittografate prima dell’archiviazione tramite crittografia a livello applicativo.
Crittografia in transito
Tutte le connessioni utilizzano TLS 1.2 o superiore. HSTS è applicato con un max-age di un anno inclusi i sottodomini. Utilizziamo suite di cifratura moderne e aggiorniamo regolarmente la nostra configurazione TLS.
Sicurezza di rete
La nostra applicazione opera in un VPC privato con regole rigorose per i security group. Il database non è accessibile pubblicamente. Tutto l’accesso amministrativo richiede VPN e MFA.
ii. Sicurezza applicativa.
Autenticazione
Autenticazione basata su JWT con token crittograficamente sicuri (secrets.token_urlsafe). Verifica email obbligatoria per tutti gli account. L’hashing delle password utilizza bcrypt con salt per utente.
Limitazione delle richieste
Tutti gli endpoint di autenticazione hanno limiti di frequenza: login (5/min), registrazione (3/min), verifica email (10/ora), reset password (5/ora). Gli endpoint API hanno limiti per utente per prevenire abusi.
Protezione CSRF
La protezione Cross-Site Request Forgery è attivata su tutti gli endpoint autenticati. Utilizziamo il pattern double-submit cookie con attributi SameSite.
Validazione degli input
Tutti gli input utente vengono validati e sanificati lato server utilizzando schemi Pydantic. Ci proteggiamo da SQL injection, XSS e altre vulnerabilità della OWASP Top 10.
Header di sicurezza
Content Security Policy rigorosa, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin e header Permissions-Policy su tutte le risposte.
Accesso cloud in sola lettura
Quando scansiona la tua infrastruttura AWS o Azure, Konforme utilizza credenziali in sola lettura. Non modifichiamo mai le tue risorse cloud. Le credenziali sono crittografate a riposo e possono essere revocate in qualsiasi momento.
iii. Protezione dei dati e GDPR.

Konforme è progettato per essere conforme al GDPR fin dalla sua concezione. Raccogliamo solo i dati necessari per fornire il nostro servizio. I dati degli utenti non vengono mai venduti a terze parti. La cancellazione dell’account rimuove permanentemente tutti i dati associati, inclusi risultati delle scansioni, risposte alle valutazioni e credenziali.

Pratica Dettaglio
Minimizzazione dei dati Raccogliamo solo ciò che è necessario per la valutazione di conformità. Nessun pixel di tracciamento, nessuna analisi di terze parti.
Diritto alla cancellazione La cancellazione dell’account rimuove tutti i dati utente. Le credenziali cloud vengono eliminate immediatamente alla cancellazione temporanea dell’account.
Portabilità dei dati Esporta i tuoi dati di conformità come report PDF in qualsiasi momento. I dati delle valutazioni possono essere esportati su richiesta.
Sub-responsabili AWS (hosting), Netlify (sito marketing), SES (email transazionali). Tutto elaborato nell’UE.
Notifica di violazione In caso di violazione dei dati, gli utenti interessati saranno notificati entro 72 ore secondo i requisiti del GDPR.
iv. Divulgazione responsabile.

Se scopri una vulnerabilità di sicurezza in Konforme, ti preghiamo di segnalarla a konform@konforme.io. Prendiamo sul serio tutte le segnalazioni e risponderemo entro 48 ore. Ti chiediamo di concederci un tempo ragionevole per risolvere il problema prima di qualsiasi divulgazione pubblica.