Legale · MCP
Privacy NORMA MCP Server
Cosa logghiamo, cosa non logghiamo, e come verificarlo da soli.
Ultimo aggiornamento: Maggio 2026
1. Introduzione
Questa pagina descrive come il NORMA MCP Server gestisce le tue interazioni. È una nota tecnica concreta, non un'informativa GDPR completa.
Per l'informativa privacy completa di Kynosure (titolare del trattamento, basi giuridiche, diritti GDPR, subprocessor, trasferimenti internazionali), consulta l'Informativa Privacy generale.
Questo documento ha scopo informativo tecnico e non costituisce consulenza legale.
2. Cosa logghiamo (solo contatori)
Ogni richiesta MCP genera UN solo record di log strutturato: nome del tool invocato + esito + latenza. Nient'altro.
Whitelist dei campi loggati:
-
tool_name— nome del tool MCP invocato (es. search_controls) -
status— esito: ok | error -
latency_ms— durata della richiesta in millisecondi -
error_class— classe dell'errore quando applicabile (es. ZodError, TimeoutError) -
started_at— timestamp ISO 8601 di inizio richiesta
Anti-lista — cosa NON viene mai loggato:
- contenuto delle query (parole chiave, prompt)
- parametri di framework (es. iso27001, nis2)
- campo company_context o profili aziendali
- nome di template specifici richiesti
- indirizzi IP (gestiti dal layer edge Cloudflare, non dal server)
- header Authorization o token API
- error.message (può contenere payload echo da Zod)
- error.stack (può contenere percorsi di file e variabili)
3. Verifica nel codice sorgente
Il logger è pubblico. Ispeziona src/log.ts nel repository GitHub per verificare l'invariante: la funzione log() accetta solo campi scalari whitelisted (string | number | boolean); nessun payload di richiesta viene mai serializzato.
src/log.ts @ github.com/kynosure-ai/norma-mcp-server
— Apri src/log.ts su GitHub
Questa è la differenza chiave: la promessa di privacy non è "fidati", è "controlla tu stesso". Il repository pubblico è la trail di audit.
4. Architettura — open code, private data
Il corpus di compliance NORMA è ospitato in un bucket Cloud Storage privato del progetto GCP kynosure-ai. Solo il service account dedicato norma-mcp-runtime@kynosure-ai.iam.gserviceaccount.com ha accesso in sola lettura, vincolato a quel bucket (NON al progetto).
Application Default Credentials (ADC) — nessuna chiave JSON committata in repo. Bucket-scoped IAM (NOT project-scoped) garantisce che la compromissione del service account non esponga altri bucket Kynosure (es. dati utente Pyxis).
Il servizio gira su Google Cloud Run nella regione europe-west3 (Frankfurt) con proxy Cloudflare davanti. I log strutturati JSON finiscono in Cloud Logging GCP (regione UE). Bucket: gs://kynosure-norma-corpus.
5. Tier di accesso e rate limit
Tier anonimo (front door)
10 richieste/ora per IP. Nessun signup, nessun email captured, nessun cookie. Il primo contatto è frictionless.
Tier API key
100 richieste/ora per chiave. L'email viene raccolta solo al signup volontario con double opt-in (Resend). L'email è usata SOLO per: (a) identificare il tier, (b) inviare aggiornamenti di servizio occasionali (revoche, breaking changes, dismissione del servizio).
Nessun tracker di terze parti, nessun analytics sul endpoint /mcp. Cloudflare Edge applica rate limiting per IP — non condividiamo dati con Cloudflare oltre quelli intrinseci al routing HTTP.
6. Cookie e stato browser
Questa pagina non usa cookie. L'endpoint MCP /mcp non usa cookie — è un servizio JSON-RPC stateless, ogni richiesta è indipendente.
Le pagine di marketing su kynosure.ai usano cookie analitici minimali con consenso esplicito; per dettagli vedi l'Informativa Privacy generale (sezione cookie).
7. Conservazione e cancellazione
I log dei contatori sono conservati 30 giorni in Cloud Logging GCP, poi cancellati automaticamente dalla retention policy.
Le email raccolte al signup API-key sono conservate fino a richiesta esplicita di cancellazione. Per cancellare: invia una richiesta a privacy@kynosure.ai indicando l'email da rimuovere — riceverai conferma entro 30 giorni come previsto dal GDPR.
8. Diritti GDPR e contatti
Per dettagli sui diritti GDPR (accesso, rettifica, cancellazione, portabilità, opposizione, base giuridica del trattamento, subprocessor), consulta l'Informativa Privacy generale.
Per richieste o domande specifiche al NORMA MCP Server: privacy@kynosure.ai
Questo documento descrive le pratiche tecniche del NORMA MCP Server e non costituisce consulenza legale né professionale. Per consulenza compliance, rivolgiti a un professionista qualificato.