vowlyevent
FunzionalitàCome FunzionaFAQAssistenzaChi Siamo
Language
ENDEFRITTRESPLNLPT
AccediScarica l'App

Sicurezza
a ogni livello.

Come proteggiamo i vostri dati e la piattaforma Vowly Event — crittografia in transito e a riposo, controlli di accesso rigorosi e ingegneria della sicurezza costruita sull'infrastruttura certificata di Google Cloud.

In vigore dal: 1 marzo 2026
01

Crittografia

Tutti i dati in entrata e in uscita dalla piattaforma Vowly Event sono crittografati utilizzando algoritmi standard del settore. Utilizziamo TLS 1.3 con perfect forward secrecy per i dati in transito e AES-256 in modalità GCM per i dati a riposo nel nostro database principale, archiviazione file e backup.

  • TLS 1.3 per tutte le connessioni client–server; inclusione nella HSTS preload list
  • Crittografia AES-256-GCM a riposo per Firestore, Cloud Storage e backup
  • Archiviazione cifrata delle credenziali tramite bcrypt (work factor 12) e Argon2id per i nuovi account
  • Gestione delle chiavi crittografiche tramite Google Cloud KMS con rotazione annuale
02

Controlli di accesso

Adottiamo il principio del minimo privilegio in tutti i sistemi. L'accesso alla produzione è limitato a un piccolo gruppo di ingegneri, richiede autenticazione multifattore e ogni azione privilegiata è registrata per finalità di audit.

  • Controllo degli accessi basato sui ruoli (RBAC) applicato a tutti gli strumenti interni
  • Chiavi di sicurezza hardware obbligatorie (FIDO2/WebAuthn) per l'accesso alla produzione
  • Concessioni di accesso just-in-time con scadenza automatica (tipicamente 4 ore)
  • Logging di audit completo di tutte le azioni amministrative
  • Revisioni trimestrali degli accessi e offboarding automatizzato entro 1 ora dal cambio di ruolo
03

Infrastruttura

Vowly Event opera su Google Cloud Platform con infrastruttura primaria nella regione europe-west3 (Francoforte) e replicazione multi-regionale nell'UE. La nostra infrastruttura è progettata per resilienza, scalabilità e conformità normativa con i requisiti di residenza dei dati UE e UK.

  • Cloud provider: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
  • Regione primaria: europe-west3 (Francoforte, Germania)
  • Database: Cloud Firestore con replicazione multi-regionale (eur3)
  • CDN e protezione DDoS: Cloudflare con rate limiting e mitigazione bot
  • Backup giornalieri cifrati con conservazione di 35 giorni e prove di ripristino trimestrali
04

Monitoraggio e rilevamento

Monitoriamo la piattaforma 24/7 con alerting automatizzato per anomalie, eventi di sicurezza e degradi delle performance. Il nostro team di risposta agli incidenti è reperibile per affrontare i problemi critici in pochi minuti.

  • Monitoraggio di sicurezza in tempo reale per pattern di login insoliti e tentativi di credential stuffing
  • Application Performance Monitoring (APM) con rilevamento di anomalie
  • Web Application Firewall (WAF) e rate limiting su tutti gli endpoint pubblici
  • Scansione continua delle vulnerabilità per le dipendenze (npm audit, Snyk)
  • Penetration testing annuale da parte di terzi accreditati CREST
05

Ciclo di sviluppo sicuro

La sicurezza è integrata in ogni fase del nostro ciclo di sviluppo software. Seguiamo le best practice OWASP e richiediamo che tutte le modifiche al codice superino controlli di sicurezza automatizzati prima del rilascio in produzione.

  • Code review tra pari obbligatoria per tutte le modifiche; nessun commit diretto sui branch di produzione
  • Static Application Security Testing (SAST) su ogni pull request
  • Software Composition Analysis (SCA) per identificare dipendenze vulnerabili
  • Header di sicurezza automatizzati (CSP, X-Frame-Options, Referrer-Policy)
  • Scansione e prevenzione segreti tramite hook git pre-commit
06

Risposta agli incidenti

Nonostante i nostri massimi sforzi, nessuna piattaforma è immune da incidenti di sicurezza. In caso di rilevamento di una violazione dei dati personali, seguiamo un piano di risposta agli incidenti documentato e notificheremo gli utenti interessati e l'ICO del Regno Unito entro 72 ore, in conformità con l'articolo 33 del UK GDPR.

  • Piano di risposta agli incidenti documentato con livelli di gravità definiti
  • Turni di reperibilità con SLA di risposta di 15 minuti per incidenti critici
  • Post-mortem e remediation obbligatori per tutti gli incidenti P0/P1
  • Impegno di notifica delle violazioni entro 72 ore alle autorità di controllo e agli utenti interessati
In caso di violazione confermata dei dati personali che La riguarda, La contatteremo direttamente via email fornendo indicazioni sulle misure protettive da adottare.
07

Conformità e certificazioni

Vowly Event è costruito su un'infrastruttura con le principali certificazioni di sicurezza ed è progettato per soddisfare i requisiti di molteplici framework di privacy e sicurezza.

  • UK GDPR e GDPR UE — piena conformità, inclusi registri ex Articolo 30 e DPIA
  • UK Data Protection Act 2018
  • PCI DSS — Stripe gestisce tutti i dati di pagamento; noi manteniamo l'ambito SAQ-A
  • Revisioni di sicurezza regolari, audit delle dipendenze e hardening della nostra infrastruttura
  • SOC 2 Type II — certificazione del fornitore di infrastruttura (Google Cloud)
08

Divulgazione responsabile

Apprezziamo l'aiuto della comunità della sicurezza nel mantenere sicura la nostra piattaforma. Se scopre una vulnerabilità, la segnali a security@vowly.co con una descrizione chiara, i passaggi per la riproduzione e le Sue informazioni di contatto. Ci impegniamo a confermare le segnalazioni entro 48 ore e a collaborare con Lei sui tempi di divulgazione responsabile.

La preghiamo di non sfruttare, testare in produzione o divulgare pubblicamente le vulnerabilità prima che abbiamo avuto una ragionevole opportunità di porvi rimedio.

Segnali una vulnerabilità

Accogliamo con favore le segnalazioni responsabili provenienti dalla comunità della sicurezza. La preghiamo di contattare il nostro team di sicurezza per segnalare vulnerabilità o problemi di sicurezza.

security@vowly.co