Trust Center
Sicurezza

Whitepaper sulla sicurezza

Versione 1 · al 14 luglio 2026

Traduzione automatica – non vincolante. Fanno fede le versioni EN/FR. In preparazione, revisione legale in corso.

Whitepaper sulla sicurezza

1. Introduzione

Questo whitepaper descrive come Fotosoft SA (che gestisce la piattaforma fotostudio.io) protegge i dati che le vengono affidati da fotografi e studi professionisti. La sicurezza è integrata nella nostra infrastruttura, nello sviluppo del nostro software e nelle nostre operazioni quotidiane. Siamo il responsabile del trattamento dei dati personali che i nostri clienti caricano; i nostri clienti rimangono i titolari del trattamento (si veda l'Accordo sul trattamento dei dati).

2. Il nostro approccio

  • Sicurezza by design e by default lungo tutto il ciclo di sviluppo.
  • Minimizzazione dei dati: trattiamo solo i dati necessari a fornire il servizio e non li rivendiamo mai né li utilizziamo per nostre finalità commerciali.
  • Difesa in profondità: più livelli di controllo indipendenti anziché un unico punto di protezione.

3. Hosting e infrastruttura

  • Tutti i dati sono ospitati esclusivamente nell'Unione Europea.
  • Heroku (Salesforce, Inc.) esegue l'applicazione e i database; Amazon Web Services (AWS S3) archivia i file caricati — entrambi in regioni europee.
  • I data center sottostanti sono certificati secondo gli standard ISO 27001 e SOC 1/2/3. Si tratta di certificazioni dei nostri fornitori di infrastruttura, non di Fotosoft.
  • La sicurezza fisica (controllo degli accessi, controlli ambientali, sorveglianza 24/7) è fornita e sottoposta ad audit da questi operatori di data center.

4. Sicurezza di rete

  • Tutto il traffico è erogato tramite HTTPS/TLS 1.2+; i protocolli in chiaro non vengono utilizzati.
  • Firewall gestiti, isolamento della rete e protezione DDoS a livello di provider presidiano il perimetro.

5. Cifratura

  • In transito: TLS per ogni connessione tra client, applicazione e archiviazione.
  • A riposo: l'archiviazione è cifrata (AES-256) a livello di infrastruttura.
  • Credenziali: le password sono memorizzate con hash e salt — mai in chiaro.

6. Controllo degli accessi e autenticazione

  • Privilegio minimo: l'accesso del personale è limitato a quanto richiesto da ciascun ruolo.
  • L'autenticazione a due fattori è obbligatoria per gli accessi amministrativi e ai server.
  • I dati dei clienti sono isolati logicamente per account; i file caricati sono serviti tramite link sicuri e non pubblici.
  • Le azioni amministrative sono attribuibili a singoli account nominativi.

7. Sicurezza applicativa

  • Un ciclo di sviluppo software sicuro con revisione del codice tra pari.
  • Scansione delle dipendenze e delle vulnerabilità come parte del processo di build.
  • Protezione dalle vulnerabilità web più comuni (OWASP Top 10).
  • Le modifiche sono sottoposte a controllo di versione e tracciabili.

8. Disponibilità e resilienza

  • Disponibilità del servizio prevista del 99.9% all'anno.
  • Monitoraggio automatizzato 24/7 con notifiche di allerta.
  • Backup giornalieri con ridondanza geografica; i ripristini vengono testati.
  • L'infrastruttura ridondante e gestita riduce i punti singoli di guasto.

9. Continuità operativa e disaster recovery

  • I backup archiviati in più sedi consentono il ripristino in caso di guasto dell'infrastruttura o perdita di dati.
  • Le procedure di ripristino documentate mirano a ripristinare il servizio con una perdita di dati minima.

10. Gestione delle vulnerabilità e delle patch

  • Le dipendenze e i componenti della piattaforma sono monitorati e sottoposti a patch con regolarità.
  • Le vulnerabilità confermate vengono prioritizzate e risolte tempestivamente.

11. Risposta agli incidenti

  • Un processo documentato di risposta agli incidenti disciplina rilevamento, contenimento e ripristino.
  • Qualora una violazione di dati personali interessi un cliente, notifichiamo il titolare interessato senza ingiustificato ritardo ed entro 72 ore.

12. Sub-responsabili e gestione dei fornitori

  • Ci avvaliamo di un numero limitato di sub-responsabili verificati (hosting, archiviazione file, email transazionali, pagamenti) nell'ambito di contratti conformi al GDPR. L'elenco aggiornato è pubblicato nella pagina Sub-responsabili e le modifiche vengono annunciate in anticipo.

13. Protezione e conservazione dei dati

  • Il trattamento è conforme al GDPR; un Accordo sul trattamento dei dati e le TOM sono disponibili in questo Trust Center.
  • Alla chiusura dell'account, i dati personali vengono eliminati definitivamente entro 30 giorni; i backup scadono al termine del relativo periodo di conservazione.
  • Gli interessati possono esercitare i propri diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione.

14. Sicurezza del personale

  • Il personale è vincolato da obblighi di riservatezza e l'accesso è concesso rigorosamente in base al principio del need-to-know.

15. Divulgazione responsabile

Accogliamo con favore le segnalazioni dei ricercatori di sicurezza. Si prega di contattare security@fotostudio.io; confermiamo le segnalazioni tempestivamente e ci adoperiamo per risolvere rapidamente i problemi confermati. Si prega di agire in buona fede ed evitare di accedere ai dati di altri utenti o di modificarli.

16. Contatti

Sicurezza: security@fotostudio.io · Generale: support@fotostudio.io

Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate. Confirm encryption-at-rest scope and the availability SLA with the team.