Sicurezza in Conviro
Sicurezza di livello enterprise costruita da zero. I dati dei tuoi clienti e le conversazioni sono protetti a ogni livello.
Crittografia
In Transito: Tutti i dati sono crittografati tramite TLS 1.2+ con crittografia a 256 bit. Tutti gli endpoint API, webhook e connessioni widget sono esclusivamente HTTPS. HSTS è applicato con un max-age di 1 anno, inclusi i sottodomini.
A Riposo: I dati dei clienti sono crittografati con AES-256 a livello di archiviazione. I volumi del database utilizzano la crittografia completa del disco. I file di backup sono crittografati con chiavi separate.
Gestione dei Segreti: Le chiavi API, i token e le credenziali sono crittografati a riposo con gerarchie di chiavi separate e non vengono mai registrati né esposti nelle risposte API.
Infrastruttura
Data Center: Tutta l'infrastruttura di produzione è ospitata in data center certificati ISO 27001 nell'Unione Europea (Germania). I server non sono accessibili dall'internet pubblico.
Isolamento di Rete: Database, cache e servizi di coda messaggi operano in reti private senza indirizzi IP pubblici. Solo l'API e l'applicazione web hanno endpoint pubblici, protetti da un reverse proxy con limitazione della frequenza e protezione DDoS.
Monitoraggio: Monitoraggio dell'infrastruttura 24/7 con avvisi automatici. Obiettivo di uptime: 99,9%.
Controllo degli Accessi
Autenticazione: Email/password con hashing bcrypt (salt rounds: 12) o Google OAuth 2.0. Token di accesso basati su JWT con scadenza di 15 minuti e token di aggiornamento casuali crittograficamente.
Autorizzazione: Controllo degli accessi basato sui ruoli (RBAC) con ruoli Proprietario, Amministratore e Agente. Autenticazione con chiave API per accesso programmatico con ambito delle autorizzazioni per chiave.
Limitazione della Frequenza: Limiti di frequenza per IP e per account su tutti gli endpoint. Gli endpoint di autenticazione hanno limiti più severi per prevenire attacchi brute force.
Conformità
GDPR: Piena conformità al Regolamento Generale sulla Protezione dei Dati dell'UE. Accordi sul Trattamento dei Dati (DPA) disponibili per i clienti Enterprise. Principi di privacy by design applicati in tutta la piattaforma.
Residenza dei Dati: Tutti i dati dei clienti sono archiviati ed elaborati nell'UE. I fornitori di modelli AI elaborano i dati delle conversazioni nell'ambito di DPA con le garanzie appropriate per eventuali trasferimenti verso gli USA (EU-US DPF, Clausole Contrattuali Standard).
Conformità ai Cookie: Banner di consenso ai cookie conforme al GDPR con controllo granulare per categoria (Essenziali, Analitici, Marketing). I registri del consenso sono conservati a fini di audit.
Legge Estone sulla Protezione dei Dati: Conforme alle normative locali estoni. Autorità di controllo: Ispettorato Estone per la Protezione dei Dati (Andmekaitse Inspektsioon).
Conservazione ed Eliminazione dei Dati
Dati delle Conversazioni: Conservati in base alle impostazioni del tuo workspace (predefinito: 90 giorni). Configurabile per workspace.
Eliminazione dell'Account: Quando elimini il tuo account o un chatbot, tutti i dati associati vengono immediatamente eliminati definitivamente dai database attivi. I backup crittografati contenenti i dati eliminati vengono rimossi permanentemente entro 30 giorni.
Diritto alla Cancellazione: Le richieste ai sensi dell'Art. 17 del GDPR vengono elaborate entro 30 giorni. Contattare [email protected].
Sicurezza del Modello AI
Isolamento dei Dati: La tua knowledge base e i dati delle conversazioni non vengono mai utilizzati per addestrare modelli AI. I dati di ogni workspace sono rigorosamente isolati.
Accordi con i Fornitori: Manteniamo Accordi sul Trattamento dei Dati con tutti i fornitori di AI (Anthropic, OpenAI, Google). Gli accordi API a zero-retention garantiscono che i fornitori non conservino i tuoi dati.
Filtraggio dei Contenuti: Gli output AI sono monitorati per la sicurezza. Protezioni contro l'iniezione di prompt e filtri di sicurezza dei contenuti sono applicati a tutte le interazioni AI.
Divulgazione delle Vulnerabilità
Se ritieni di aver trovato una vulnerabilità di sicurezza in Conviro, ti invitiamo a segnalarla in modo responsabile al nostro team di sicurezza. Non divulgare pubblicamente la vulnerabilità finché non abbiamo avuto l'opportunità di risolverla.
Contatto: [email protected]
Ci impegniamo a:
- Confermare la ricezione della segnalazione entro 24 ore.
- Fornire una tempistica per la correzione entro 72 ore.
- Tenerti aggiornato sui nostri progressi.
- Non intraprendere azioni legali contro i ricercatori di sicurezza in buona fede.