siati.ai

Legal

Sicurezza

In vigore dal 10 maggio 2026

La sicurezza dei dati che ci affidi è il fondamento di siati.ai. Questa pagina descrive le misure tecniche e organizzative che adottiamo, le nostre policy di disclosure delle vulnerabilità e la roadmap di certificazione.

Architettura

L'inferenza, la base dati e i log applicativi sono interamente ospitati in Svizzera, in datacenter ticinese con controllo accessi fisico e ridondanza elettrica. Nessun prompt o risposta dei modelli lascia il territorio svizzero. I servizi accessori (email, pagamenti, store mobile, DNS) sono delegati a fornitori selezionati, ciascuno vincolato da accordo conforme all'art. 28 GDPR — l'elenco è in Privacy.

Misure di sicurezza tecniche

Crittografia in transito — TLS 1.2 e 1.3 obbligatori su ogni endpoint pubblico, HSTS con max-age=1y; includeSubDomains attivo. Le versioni TLS 1.0/1.1 e SSL sono disabilitate. Certificati Let's Encrypt rinnovati automaticamente.

Crittografia delle password — hash Argon2id con parametri raccomandati OWASP (memory ≥64 MiB, iterations ≥3, parallelism ≥4). Mai memorizzate in chiaro. Salt univoco per utente; pepper applicativo separato.

Autenticazione — sessioni JWT HS256 con segreto di 256 bit, scadenza 60 minuti rinnovabile (refresh "sliding"). Cookie HttpOnly + SameSite=Lax + Secure. Le API key dei dev hanno hash HMAC-SHA256 con salt dedicato. Multi-factor authentication TOTP in roadmap per gli account amministrativi (Q3 2026).

Rate-limit anti-abuso — sliding-window Redis su login (10/min/IP, 5/min/email), registrazione, recupero password e cancellazione account. Le tier /v1/* hanno limiti per chiave/minuto secondo il piano.

Segregazione di rete — NetworkPolicy Kubernetes con default-deny in tutto il namespace produttivo: ogni componente parla solo con quelle a cui è esplicitamente autorizzato. Database, Redis e workload di inferenza non hanno egress verso Internet.

Header di sicurezza — Content-Security-Policy restrittiva su tutte le pagine, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP/CORP. Header Server e X-Powered-By rimossi.

Backup — pg_dump giornaliero compresso, retention 30 giorni. Restore drill regolare. Migrazione verso storage NAS dedicato fuori dal nodo applicativo in corso (Q2 2026).

Logging — eventi di autenticazione, di accesso amministrativo e azioni critiche persistiti in formato strutturato JSON via structlog. Retention 90 giorni (1 anno per audit). PII redatti automaticamente (email mascherata, token mai stampati).

Misure organizzative

  • Principio del minimo privilegio: accessi RBAC granulari, separazione admin / operatori / sviluppatori.
  • Code review obbligatoria sui pull request che toccano autenticazione, billing o trattamento dati personali.
  • Aggiornamenti di sicurezza delle dipendenze monitorati settimanalmente; patch HIGH/CRITICAL applicate entro 7 giorni dalla pubblicazione.
  • Image scanning dei container con strumenti automatici, in fase di estensione a gating in build (Q2 2026).
  • Accesso ai sistemi di produzione limitato a personale identificato, via VPN aziendale e MFA hardware.

Notifica delle violazioni

Se rileviamo o veniamo informati di una violazione di dati personali che possa comportare un rischio per i nostri utenti:

  1. Contenimento entro le prime 4 ore (revoca credenziali, isolamento sistemi, snapshot forense)
  2. Notifica al PFPDT (Preposto federale alla protezione dei dati) nei termini dell'art. 24 nLPD
  3. Notifica alle autorità UE competenti entro 72 ore (art. 33 GDPR)
  4. Comunicazione diretta agli interessati senza ingiustificato ritardo se il rischio è elevato (art. 34 GDPR)
  5. Post-mortem pubblico entro 30 giorni, salvo richieste investigative contrarie

Divulgazione responsabile (responsible disclosure)

Se hai scoperto una vulnerabilità di sicurezza, ti chiediamo di notificarcela in modo riservato prima di renderla pubblica.

Contatto: security@siati.ai PGP key: pubblicata in .well-known/security.txt (RFC 9116)

Cosa promettiamo:

  • Confermare la ricezione entro 48 ore
  • Aggiornarti settimanalmente sullo stato dell'indagine
  • Risolvere la vulnerabilità senza richiamare il tuo ruolo nella scoperta, salvo tuo esplicito desiderio di ringraziamento pubblico
  • Non avviare azioni legali contro di te, purché la tua ricerca rispetti le seguenti regole

Cosa ti chiediamo:

  • Non accedere a dati di altri utenti
  • Non degradare o interrompere il servizio
  • Non divulgare la vulnerabilità prima della patch (coordineremo una data realistica)
  • Operare in buona fede, senza ricatto o richiesta di compenso non concordato

Programma di bug bounty: in fase di valutazione per il 2026, con piattaforma e fasce di premio annunciate sulla news quando attivo. Nel frattempo riconosciamo formalmente i ricercatori in un Hall of Fame su questa pagina, se lo desiderano.

Roadmap di certificazione

Standard Stato Target
ISO/IEC 27001 Gap analysis interna completata, SoA in redazione Certificazione Q4 2027
ISO/IEC 27017 (cloud) Allineamento progressivo dei controlli applicabili dopo 27001
NIS2 (UE 2022/2555) Misure art. 21 implementate; reporting art. 23 procedurato conformità progressiva 2026-2027
SOC 2 Type II In valutazione per clienti enterprise B2B Q2 2028

Stato aggiornato semestralmente.

Contatti

Domande generali sulla sicurezza: security@siati.ai Privacy / dati personali: privacy@siati.ai