Back home

Sicurezza & Compliance

Architettura, residenza dati e controlli di sicurezza che adottiamo per proteggere i tuoi contenuti, le voci clonate e i dati di pagamento.

TLS 1.3 end-to-end
Encryption at rest (AES-256)
Data residency: EU (Frankfurt)
Audit trail immutabile

Data residency e infrastruttura

  • Database Supabase Postgres — region aws-1-eu-north-1 (Stoccolma / Francoforte). Backup giornalieri, point-in-time-recovery 7 giorni.
  • CDN & WAF Cloudflare Enterprise. TLS 1.3, DDoS L3-L7, bot management, rate limiting.
  • Backend API Railway (region EU-West). Container immutabili, deploy via signed images.
  • Object storage (R2) Cloudflare — region EU. Voci clonate cifrate at rest.
  • Pagamenti Stripe — PCI-DSS Level 1. Nessun numero di carta transita o è memorizzato sui nostri sistemi.

Identità e autenticazione

  • Password con hashing bcrypt (cost 12).
  • OTP a 6 cifre sull'email per signup, password reset e cambio email.
  • Session token httpOnly + Secure + SameSite=Strict, refresh con rotation.
  • SSO OIDC (Google) — su tier Enterprise sono predisposti SAML 2.0 (Azure AD, Workspace) e SPID test environment.

Protezione dati biometrici (voce)

  • Voce trattata come dato biometrico ai sensi del GDPR art. 9. Categoria speciale.
  • Consenso esplicito + documento firmato + IP + timestamp.
  • Cross-language gate — la sintesi è bloccata in qualsiasi lingua non esplicitamente autorizzata dall'utente al momento dell'enrollment. Tentativi non autorizzati generano un safety_event di tipo consent_violation.
  • Retention 1095 giorni (BIPA-compliant). Revoca ed eliminazione immediate.

Audit log immutabile

  • Ogni azione sensibile (login, pagamento, enrollment, sintesi, modifica admin, cancellazione account) è registrata in tabella audit_events con IP, user-agent e timestamp UTC.
  • Esportazione CSV disponibile dalla dashboard amministratore (ruolo admin).
  • L'esportazione stessa è auditata (azione admin.audit_exported).

Monitoring e incident response

  • Cloudflare Logs + Railway metrics aggregati su SIEM-ready format.
  • Webhook Stripe firmati (HMAC SHA-256) — payload non firmati vengono respinti.
  • Notifica entro 72h al titolare del trattamento e (ove applicabile) al Garante per violazioni di dati personali (GDPR art. 33).

Compliance posture

GDPR (UE 2016/679)
Conforme
CCPA / CPRA (California)
Conforme
BIPA (Illinois — biometric)
Conforme
DMCA (US Title 17)
Procedura attiva
AgID Misure Minime ICT (Italia PA)
Allineato — ABSC 1, 2, 3, 5, 8, 10, 13
ACN linee guida cybersecurity
Allineato
ISO 27001
Predisposizione — cert in roadmap
ISO 27701 (privacy)
Predisposizione — cert in roadmap

Contatti sicurezza

Security incidents: security@fynqcast.com

DPO / Privacy: info@parlanticonsulting.agency

DMCA: dmca@fynqcast.com

Responsible disclosure: rispondiamo entro 72h e seguiamo le linee guida ACN per la classificazione di incidenti.