Sicurezza
La sicurezza dei tuoi dati è la nostra massima priorità. Implementiamo misure di sicurezza standard del settore per proteggere la tua attività e le informazioni dei tuoi clienti. Tutti i dati sono ospitati in Germania, all'interno dell'Unione Europea, sull'infrastruttura Hetzner.
Protezione dei dati
Crittografia a riposo
CifratoI volumi del database sono cifrati a riposo a livello di infrastruttura. Le credenziali sensibili e i token di pagamento sono ulteriormente cifrati a livello applicativo prima della memorizzazione.
Crittografia in transito
TLS 1.3Tutti i dati trasmessi tra il tuo browser e i nostri server sono cifrati utilizzando TLS 1.3 con suite di cifratura moderne.
Autenticazione OAuth 2.0
OAuth 2.0Utilizziamo OAuth 2.0 standard del settore con Google, Facebook e Apple per un'autenticazione sicura. Nessuna password viene memorizzata.
Sicurezza dei token JWT
RotazioneI token di accesso scadono dopo 1 ora. I refresh token vengono ruotati ad ogni uso e possono essere revocati immediatamente.
Sicurezza dell'infrastruttura
ISO 27001 (DC)Ospitato su Hetzner in Germania. I data center Hetzner sono certificati ISO 27001 e offrono sicurezza fisica di livello enterprise e mitigazione DDoS al confine della rete.
Backup del database
BackupI backup PostgreSQL vengono eseguiti prima di ogni deploy in produzione e di ogni migrazione. I backup sono archiviati su volumi protetti e conservati per consentire un rollback rapido.
Pratiche di sicurezza
Monitoraggio degli errori
Gli errori applicativi e i tentativi di autenticazione falliti vengono registrati e monitorati tramite Sentry per rilevare anomalie in modo tempestivo.
Aggiornamenti regolari
Dipendenze e sistemi vengono aggiornati regolarmente per correggere vulnerabilità di sicurezza e mantenere le buone pratiche.
Controlli di accesso
L'isolazione dei dati per utente e il controllo di accesso basato sui ruoli (RBAC) garantiscono che i membri del team accedano solo ai dati necessari per il loro ruolo.
Revisione interna del codice
Le modifiche al codice passano attraverso una revisione interna di sicurezza con strumenti automatizzati (Bandit, scansione delle dipendenze) prima del rilascio.
Conformità e certificazioni
Conforme al GDPR
- Accordi sul trattamento dei dati
- Diritto di accesso ed eliminazione
- Portabilità dei dati
- Notifica di violazione
PCIDSS
- Elaborazione sicura dei pagamenti tramite iyzico
- Nessun dato della carta memorizzato
- Transazioni tokenizzate
- Protezione dalle frodi
Risposta agli incidenti
Il nostro impegno
Nel caso improbabile di un incidente di sicurezza che interessa i tuoi dati, ci impegniamo a:
- Notificare gli utenti interessati entro 72 ore dalla scoperta
- Fornire informazioni chiare su quali dati sono stati interessati
- Adottare misure immediate per contenere e rimediare all'incidente
- Condurre revisioni approfondite post-incidente
Segnala una vulnerabilità
Apprezziamo la divulgazione responsabile. Se scopri una vulnerabilità di sicurezza, segnalala a contact@clientflow.center
Confermeremo la ricezione entro 24 ore e lavoreremo con te per comprendere e affrontare il problema prontamente.