DeepScript
Torna al Trust Center
Sicurezza

La nostra sicurezza

DeepScript è progettato fin dall'inizio per i dati sensibili dei clienti. Qui documentiamo le misure tecniche e organizzative che attuiamo ai sensi dell'art. 32 GDPR – comprensibili per i responsabili della protezione dei dati, complete per gli audit.

Crittografia

Tutti i trasferimenti di dati sono crittografati con TLS (almeno TLS 1.2, preferibilmente TLS 1.3) tra browser, applicazione, database e motore di trascrizione. HSTS è attivo su tutti gli endpoint pubblici; le richieste HTTP vengono reindirizzate a HTTPS e le cipher suite sono configurate secondo il profilo "Modern" di Mozilla.

I dati sono crittografati a riposo: i backup sono protetti con AES-256 e i volumi del database sono completamente crittografati a livello di disco. Le password sono memorizzate esclusivamente con bcrypt (cost ≥ 10). Le chiavi API vengono memorizzate sotto forma di hash e mostrate in chiaro una sola volta, al momento della creazione.

Controllo degli accessi e accesso del personale

Gli accessi amministrativi ai sistemi di produzione avvengono esclusivamente tramite SSH con autenticazione a chiave asimmetrica – il login con password è disattivato. Tutti gli account del personale sulle console di piattaforma e cloud sono protetti da autenticazione a due fattori basata su TOTP.

  • Controllo degli accessi basato sui ruoli (RBAC) secondo il principio del privilegio minimo
  • Revisione trimestrale di tutte le autorizzazioni di accesso
  • Registro di audit completo di tutti gli accessi amministrativi (chi, quando, cosa, da dove)
  • Nel funzionamento ordinario, il personale di Aliru non ha accesso in lettura ai contenuti delle trascrizioni
  • Lato cliente: 2FA TOTP opzionale, codici di backup, registro di audit separato per ogni account

Isolamento dei tenant

Ogni workspace (internamente una "Directory") è logicamente separata da tutte le altre tramite un UUID. Ogni query al database verifica il contesto Directory della richiesta corrente – un accesso in lettura cross-tenant è tecnicamente impossibile, poiché il livello applicativo non consente mai una query non verificata sul database. Backup, registri di audit e cache seguono la stessa separazione.

Disponibilità, backup e ripristino

  • Backup automatizzati quotidiani; conservazione a rotazione di 14 giorni
  • Backup crittografati (AES-256) e conservati su hardware separato in un secondo data center
  • Test di ripristino documentati ogni sei mesi
  • RTO (Recovery Time Objective): 4 ore in caso di guasto totale
  • RPO (Recovery Point Objective): al massimo 24 ore di perdita di dati
  • Pagina di stato su deepscript.com/status con sonda al minuto e cronologia degli incidenti di 90 giorni

Risposta agli incidenti

Gestiamo un processo di risposta agli incidenti documentato con una chiara catena di escalation: rilevamento → contenimento → analisi → rimedio → notifica al cliente → post-mortem.

  • Notifica delle violazioni dei dati ai clienti entro 24 ore dalla conoscenza
  • Contenuto della notifica: natura della violazione, categorie e numero approssimativo dei dati interessati, misure adottate, punto di contatto
  • La notifica all'autorità ai sensi dell'art. 33 GDPR (termine di 72 ore) spetta al titolare del trattamento – forniamo supporto con tutte le informazioni necessarie
  • Un post-mortem per ogni incidente con analisi delle cause profonde e misure per evitare il ripetersi

Penetration test e audit

Ogni anno incarichiamo un fornitore di sicurezza esterno indipendente di eseguire un penetration test sull'applicazione web e sull'API REST pubblica. I risultati vengono prioritizzati in base alla ponderazione del rischio; i risultati critici sono risolti entro 14 giorni. Mettiamo a disposizione dei clienti business un riepilogo esecutivo su richiesta, sotto NDA.

Internamente effettuiamo ogni trimestre una verifica dell'efficacia delle MTO – la versione attuale è documentata nell'allegato 1 del contratto di trattamento dei dati (DPA).

Sviluppo software sicuro

  • Revisione del codice obbligatoria per tutte le modifiche al codice di produzione
  • Scansione delle dipendenze a ogni build (pnpm audit) – nessuna CVE critica nota in produzione
  • CI automatizzata con controllo dei tipi, test unitari e test E2E prima di ogni deployment
  • Rigorosa separazione tra ambienti di sviluppo, staging e produzione – nessun dato reale nei sistemi non di produzione
  • Secret nelle configurazioni di produzione tramite variabili d'ambiente crittografate; nessun secret nel repository del codice

AI Act dell'UE e conformità all'IA

Il nostro motore di riconoscimento vocale rientra nella categoria "rischio limitato" del regolamento UE sull'IA (regolamento (UE) 2024/1689). Non vi è identificazione biometrica, né punteggio sociale, né decisioni automatizzate con effetti giuridici. I dettagli sono riportati nella dichiarazione di conformità all'IA (allegato 4 del DPA).

Formazione e riservatezza

  • Vincolo di riservatezza per tutto il personale ai sensi dell'art. 28, par. 3, lett. b) GDPR
  • Formazione annuale obbligatoria su protezione dei dati e sicurezza delle informazioni
  • Formazione di onboarding per ogni nuovo collaboratore con accesso ai sistemi di produzione
  • Processo di off-boarding con revoca immediata di tutti gli accessi al termine del contratto

Domande?

Scrivici un'email a datenschutz@deepscript.com – rispondiamo entro un giorno lavorativo.

Sicurezza e MTO – DeepScript Trust Center