Skip to content
Aprendly dark modeAprendlyAprendly
HomeFunzionalitàPrezziContattoChi siamo
Accedi

Politica di Sicurezza delle Informazioni

ARANOVA ha implementato le seguenti misure tecniche e organizzative per garantire la sicurezza, riservatezza, integrità e disponibilità delle informazioni trattate sulla piattaforma Aprendly, ai sensi dell'articolo 32 del GDPR.

1. Crittografia

1.1 Dati in transito

  • Protocollo: TLS 1.3 come minimo per tutte le comunicazioni.
  • HSTS: HTTP Strict Transport Security abilitato, che forza le connessioni HTTPS.
  • Certificati: Emessi da autorità di certificazione riconosciute, con rinnovo automatico.

1.2 Dati a riposo

  • Algoritmo: AES-256 per la crittografia dei dati archiviati.
  • Database: Crittografia automatica a riposo fornita dal provider cloud.
  • Backup: Crittografati con AES-256.

2. Controllo degli Accessi

2.1 Accesso degli utenti

  • Autenticazione: Basata su OAuth 2.0 / NextAuth.js con provider sicuri.
  • Password: Archiviate esclusivamente come hash (bcrypt/argon2). Mai in testo semplice.
  • Sessioni: Token JWT con scadenza configurabile. Invalidazione al logout.
  • Autorizzazione: Controllo degli accessi basato su ruoli (RBAC) a livello applicativo.

2.2 Accesso del personale

  • Autenticazione multifattoriale (MFA): Obbligatoria per tutto il personale con accesso ai sistemi di produzione.
  • Principio del minimo privilegio: Il personale accede solo ai dati necessari per le proprie funzioni.
  • Registro degli accessi: Tutti gli accessi del personale ai dati degli utenti vengono registrati.
  • Revisione periodica: I permessi di accesso vengono rivisti trimestralmente.

3. Backup

  • Frequenza: Backup completi giornalieri.
  • Crittografia: AES-256.
  • Conservazione: 30 giorni.
  • Archiviazione: Geograficamente separata dal data center principale.
  • Test di ripristino: Eseguiti mensilmente per verificare l'integrità.

4. Monitoraggio e Rilevamento

  • Log centralizzati: Tutti gli eventi di sicurezza vengono registrati in modo centralizzato.
  • Rilevamento intrusioni: Monitoraggio continuo di modelli anomali.
  • Avvisi: Configurati per eventi critici (tentativi di accesso multipli falliti, modifiche ai permessi, ecc.).

5. Gestione delle Vulnerabilità

  • Aggiornamenti: Le dipendenze del progetto vengono aggiornate settimanalmente tramite Dependabot/Renovate/AiSecBoox.
  • Analisi statica: Strumenti SAST integrati nella pipeline CI/CD.
  • Test di penetrazione: Programmato annualmente.

6. Sviluppo Sicuro

  • CI/CD: Tutte le modifiche passano attraverso la revisione del codice e test automatizzati prima di raggiungere la produzione.
  • Segreti: Le chiavi API, i token e le password sono gestiti esclusivamente tramite variabili d'ambiente. Mai archiviati nel codice sorgente.
  • Dipendenze: Audit automatizzato delle vulnerabilità nelle dipendenze (pnpm audit).

7. Gestione degli Incidenti

7.1 Rilevamento

Qualsiasi dipendente o sistema automatizzato può segnalare un incidente di sicurezza al canale designato.

7.2 Risposta

  • Tempo di risposta iniziale: Massimo 4 ore dal rilevamento.
  • Contenimento: Isolamento del sistema interessato entro un massimo di 8 ore.

7.3 Notifica

  • AEPD: Entro un massimo di 72 ore dal rilevamento di una violazione dei dati personali.
  • Utenti interessati: Senza indebito ritardo quando la violazione comporta un rischio elevato per i loro diritti e libertà.

7.4 Post-mortem

Viene eseguita un'analisi della causa radice e vengono implementate misure correttive per prevenire il ripetersi dell'incidente.

8. Infrastruttura

  • Provider cloud principale: Arsys Internet S.L. (infrastruttura applicativa web e hosting), situato in Spagna.
  • Provider cloud secondari:
    • Amazon Web Services (AWS): archiviazione S3 di immagini con CDN e backup, regione eu-south-2 (Spagna).
    • Google Cloud Platform: BigData (Cloud Storage e BigQuery) e autenticazione OAuth, regione europea (Spagna).
  • Database: Arsys (cluster PostgreSQL non gestito), con crittografia a riposo e in transito, amministrato internamente.
  • Gateway cloud: Aranova Cloud Gateway per la gestione dell'accesso a AWS S3.
  • Certificazioni: I fornitori di infrastruttura possiedono certificazioni ISO 27001, SOC 2 e conformità al GDPR. Tutti i dati sono archiviati all'interno dello Spazio Economico Europeo.

9. Formazione

  • Formazione iniziale: Tutto il personale riceve formazione sulla sicurezza delle informazioni e sulla protezione dei dati al momento dell'assunzione.
  • Formazione continua: Sessioni di aggiornamento annuali.
  • Sensibilizzazione: Campagne periodiche su phishing e buone pratiche di sicurezza.

10. Revisione

Questa politica viene rivista annualmente o quando si verificano cambiamenti significativi nell'infrastruttura o nei processi di sicurezza. Ultima revisione: 20 giugno 2026.

Aprendly

Metti al sicuro la tua eredità digitale. Organizza, proteggi e automatizza la trasmissione dei tuoi asset digitali affinché la tua famiglia sappia esattamente cosa fare.

Servizio

  • Funzionalità
  • Prezzi

Azienda

  • Chi siamo
  • Contatto

Legale

  • Note legali
  • Privacy
  • Cookie
  • [+]
  • aprendly
  • aprendly
  • Aprendly

Copyright © 2026 Aprendly