Trust

Costruito sulla fiducia, verificato by design

Ti aiutiamo a costruire e documentare la tua conformità. Lo stesso principio si applica a come costruiamo e gestiamo la nostra piattaforma.

Security by design

La sicurezza non è un'aggiunta—è fondamentale. La nostra piattaforma è costruita con controlli di sicurezza integrati dall'architettura al deployment.

  • Crittografia end-to-end per dati in transito e a riposo
  • Controllo accessi basato su ruoli con audit logging
  • Assessment di sicurezza regolari e penetration testing
  • Pratiche di sviluppo sicuro nel ciclo di vita

Privacy-first

I tuoi dati di compliance sono tuoi. Processiamo solo ciò che è necessario e niente di più.

  • Minimizzazione dei dati per default
  • Policy di data retention chiare
  • Nessuna vendita o condivisione dei dati clienti
  • Gestione dati conforme al GDPR

Auditabilità e tracciabilità

Ogni azione, ogni modifica, ogni decisione—documentata e tracciabile. Perché la compliance richiede evidenze.

  • Audit trail completi per tutte le attività della piattaforma
  • Version control per documenti e configurazioni
  • Timestamp e attribuzione utente per ogni modifica
  • Capacità di export per audit esterni

IA Responsabile

Lyra, il nostro copilota AI, è costruito con guardrail. Il giudizio umano rimane centrale in ogni decisione di compliance.

Human in the loop

Ogni suggerimento AI richiede revisione e approvazione umana. Mantieni il controllo di tutte le decisioni di compliance.

Ragionamento trasparente

Comprendi perché Lyra fa determinati suggerimenti. Piena visibilità sulle raccomandazioni generate dall'AI.

Confini dei dati

Governance chiara su cosa può accedere l'AI. I tuoi dati sensibili restano sotto il tuo controllo.

Il nostro percorso di compliance

Siamo sullo stesso cammino dei nostri clienti. Kynosure.ai sta perseguendo la certificazione sui framework che supportiamo.

In corso ISO 27001
Pianificato ISO 42001
Pianificato SOC 2 Type II

Sub-processor pubblici

I dati che ci affidi non sono mai venduti. Vengono processati esclusivamente attraverso i sub-processor elencati sotto, con clausole contrattuali standard UE dove pertinente. Ti notifichiamo almeno 30 giorni prima di qualsiasi cambiamento sostanziale a questa lista.

Sub-processorScopoSede dei datiTrasferimento
Google Cloud SQL Database primario (compliance data) europe-west3 (UE) Stessa regione UE
Google Cloud Run Hosting applicativo europe-west3 (UE) Stessa regione UE
Google Cloud Storage Storage file (export PDF, evidenze) europe-west3 (UE) Stessa regione UE
Google Vertex AI Generazione roadmap di remediation (Claude Sonnet) europe-west3 (UE) Stessa regione UE
Google Firebase Auth Autenticazione utenti US (Google Cloud) SCC UE Art. 46 + DPA Google
Resend Email transazionali (nessun marketing) US SCC UE Art. 46 + DPA Resend
LemonSqueezy Pagamenti (Merchant of Record, gestione VAT UE) US SCC UE + Customer Master Agreement

Tutti i dati sensibili di compliance (risposte, scoring, evidenze, PDF generati) restano in europe-west3. I sub-processor US toccano solo metadata di autenticazione, email e pagamenti.

Divulgazione responsabile di vulnerabilità

Sosteniamo la ricerca di sicurezza e ti invitiamo a segnalare vulnerabilità in modo responsabile. Rispondiamo entro 5 giorni lavorativi e ci impegniamo a una finestra di 90 giorni per il fix o la divulgazione coordinata.

Ambito

  • Dominio kynosure.ai e tutti i sotto-percorsi
  • API a /api/* (assessment, auth, payments, contact, NORMA subscribe/confirm)
  • Servizio Cloud Run kynosure-web e Cloud Functions associate (scoreAssessment, generateRoadmap)

Fuori ambito

  • Spam, attacchi DOS/DDoS volumetrici, esaurimento risorse
  • Social engineering del personale o di clienti
  • Attacchi fisici alle infrastrutture
  • Vulnerabilità in dipendenze upstream già pubblicate (segnala upstream)

Safe harbor

Test in buona fede, su account di prova creati da te, senza esfiltrazione di dati di altri utenti, senza interruzione del servizio in produzione: garantiamo nessuna azione legale. Test su dati reali di altri utenti o impatti sulla disponibilità in produzione invalidano il safe harbor.

Contatto

— Preferiamo email cifrata. Contattaci per richiedere la chiave PGP. Per non-vulnerabilità (domande generali) usa il form di contatto.

Domande sulla nostra sicurezza?

Siamo felici di discutere le nostre pratiche di sicurezza, condividere documentazione o rispondere a preoccupazioni specifiche.

Contattaci