Sicurezza in Conviro

Sicurezza di livello enterprise costruita da zero. I dati dei tuoi clienti e le conversazioni sono protetti a ogni livello.

Crittografia

In Transito: Tutti i dati sono crittografati tramite TLS 1.2+ con crittografia a 256 bit. Tutti gli endpoint API, webhook e connessioni widget sono esclusivamente HTTPS. HSTS è applicato con un max-age di 1 anno, inclusi i sottodomini.

A Riposo: I dati dei clienti sono crittografati con AES-256 a livello di archiviazione. I volumi del database utilizzano la crittografia completa del disco. I file di backup sono crittografati con chiavi separate.

Gestione dei Segreti: Le chiavi API, i token e le credenziali sono crittografati a riposo con gerarchie di chiavi separate e non vengono mai registrati né esposti nelle risposte API.

Infrastruttura

Data Center: Tutta l'infrastruttura di produzione è ospitata in data center certificati ISO 27001 nell'Unione Europea (Germania). I server non sono accessibili dall'internet pubblico.

Isolamento di Rete: Database, cache e servizi di coda messaggi operano in reti private senza indirizzi IP pubblici. Solo l'API e l'applicazione web hanno endpoint pubblici, protetti da un reverse proxy con limitazione della frequenza e protezione DDoS.

Monitoraggio: Monitoraggio dell'infrastruttura 24/7 con avvisi automatici. Obiettivo di uptime: 99,9%.

Controllo degli Accessi

Autenticazione: Email/password con hashing bcrypt (salt rounds: 12) o Google OAuth 2.0. Token di accesso basati su JWT con scadenza di 15 minuti e token di aggiornamento casuali crittograficamente.

Autorizzazione: Controllo degli accessi basato sui ruoli (RBAC) con ruoli Proprietario, Amministratore e Agente. Autenticazione con chiave API per accesso programmatico con ambito delle autorizzazioni per chiave.

Limitazione della Frequenza: Limiti di frequenza per IP e per account su tutti gli endpoint. Gli endpoint di autenticazione hanno limiti più severi per prevenire attacchi brute force.

Conformità

GDPR: Piena conformità al Regolamento Generale sulla Protezione dei Dati dell'UE. Accordi sul Trattamento dei Dati (DPA) disponibili per i clienti Enterprise. Principi di privacy by design applicati in tutta la piattaforma.

Residenza dei Dati: Tutti i dati dei clienti sono archiviati ed elaborati nell'UE. I fornitori di modelli AI elaborano i dati delle conversazioni nell'ambito di DPA con le garanzie appropriate per eventuali trasferimenti verso gli USA (EU-US DPF, Clausole Contrattuali Standard).

Conformità ai Cookie: Banner di consenso ai cookie conforme al GDPR con controllo granulare per categoria (Essenziali, Analitici, Marketing). I registri del consenso sono conservati a fini di audit.

Legge Estone sulla Protezione dei Dati: Conforme alle normative locali estoni. Autorità di controllo: Ispettorato Estone per la Protezione dei Dati (Andmekaitse Inspektsioon).

Conservazione ed Eliminazione dei Dati

Dati delle Conversazioni: Conservati in base alle impostazioni del tuo workspace (predefinito: 90 giorni). Configurabile per workspace.

Eliminazione dell'Account: Quando elimini il tuo account o un chatbot, tutti i dati associati vengono immediatamente eliminati definitivamente dai database attivi. I backup crittografati contenenti i dati eliminati vengono rimossi permanentemente entro 30 giorni.

Diritto alla Cancellazione: Le richieste ai sensi dell'Art. 17 del GDPR vengono elaborate entro 30 giorni. Contattare [email protected].

Sicurezza del Modello AI

Isolamento dei Dati: La tua knowledge base e i dati delle conversazioni non vengono mai utilizzati per addestrare modelli AI. I dati di ogni workspace sono rigorosamente isolati.

Accordi con i Fornitori: Manteniamo Accordi sul Trattamento dei Dati con tutti i fornitori di AI (Anthropic, OpenAI, Google). Gli accordi API a zero-retention garantiscono che i fornitori non conservino i tuoi dati.

Filtraggio dei Contenuti: Gli output AI sono monitorati per la sicurezza. Protezioni contro l'iniezione di prompt e filtri di sicurezza dei contenuti sono applicati a tutte le interazioni AI.

Divulgazione delle Vulnerabilità

Se ritieni di aver trovato una vulnerabilità di sicurezza in Conviro, ti invitiamo a segnalarla in modo responsabile al nostro team di sicurezza. Non divulgare pubblicamente la vulnerabilità finché non abbiamo avuto l'opportunità di risolverla.

Contatto: [email protected]

Ci impegniamo a:

  • Confermare la ricezione della segnalazione entro 24 ore.
  • Fornire una tempistica per la correzione entro 72 ore.
  • Tenerti aggiornato sui nostri progressi.
  • Non intraprendere azioni legali contro i ricercatori di sicurezza in buona fede.