Skip to content

La versione inglese di questo documento è quella autorevole. Questa traduzione è fornita solo per comodità.

Note legali

Security Overview

v1.0 · In vigore dal 2026-07-06

1. Panoramica

Questa pagina descrive le misure di sicurezza che proteggono i tuoi dati in Brainpercent, gestito da Brainpercent, LLC (Delaware, USA). Descriviamo solo ciò che è effettivamente in atto oggi. Non rivendichiamo certificazioni che non possediamo. Per come trattiamo i dati personali, consulta la nostra Informativa sulla Privacy e l'Addendum sul Trattamento dei Dati (DPA).

2. Crittografia

I tuoi dati sono crittografati in ogni fase:

  • A riposo: crittografia AES-256 per il database e lo storage dei file (Supabase Postgres e Storage, ospitati nell'UE, regione di Francoforte).
  • Token degli account collegati: i token OAuth dei tuoi account social collegati sono inoltre crittografati a livello applicativo con AES-256-GCM, con un vettore di inizializzazione univoco e un tag di autenticazione per ogni segreto.
  • In transito: TLS 1.2 o superiore per tutte le connessioni tra il tuo browser, i nostri server e i nostri fornitori di servizi.

3. Controllo degli Accessi

L'accesso ai tuoi dati è limitato su più livelli:

  • Sicurezza a livello di riga: la row-level security (RLS) di Postgres limita ogni query al tuo utente a livello di database, quindi un utente non può leggere le righe di un altro.
  • Separazione dei ruoli: i client del database sono separati per ruoli. Il client che gira nel tuo browser non detiene mai credenziali amministrative; le operazioni privilegiate girano solo lato server.
  • Segreti crittografati: le chiavi API e i segreti d'ambiente sono archiviati crittografati in Vercel e Supabase e non vengono mai inseriti nel controllo di versione.

4. Sicurezza dell'Applicazione

L'applicazione e le sue integrazioni sono irrobustite:

  • Header di sicurezza: HSTS e ulteriori header di sicurezza sono impostati sulle risposte per imporre HTTPS e ridurre le comuni superfici di attacco web.
  • Convalida delle firme dei webhook: i webhook in ingresso (Stripe, Inngest) vengono verificati rispetto alle loro firme crittografiche prima di qualsiasi elaborazione.
  • Limitazione della frequenza: la limitazione distribuita della frequenza sugli endpoint di autenticazione rallenta il credential stuffing e i tentativi di forza bruta.

5. Sicurezza dei Pagamenti

I dati delle carte di pagamento sono gestiti interamente da Stripe, un processore di pagamenti certificato PCI-DSS. I numeri delle carte non toccano mai i nostri server e non li memorizziamo mai. Conserviamo solo i riferimenti non sensibili forniti da Stripe (come ID cliente e ID abbonamento).

6. Monitoraggio e Risposta agli Incidenti

Monitoriamo i problemi e ci impegniamo a notificarti quando contano:

  • Monitoraggio degli errori: gli errori dell'applicazione sono catturati e monitorati tramite Sentry.
  • Notifica delle violazioni: se una violazione dei dati riguarda i tuoi dati personali, notificheremo gli utenti interessati e le autorità competenti entro 72 ore dove richiesto dalla legge (come l'Articolo 33 del GDPR).

7. Limitazioni Attuali

Preferiamo l'onestà al teatro della sicurezza. Ecco cosa non abbiamo ancora:

  • Azienda con un solo operatore: Brainpercent è attualmente costruito e gestito da una sola persona. Non esiste un team di sicurezza 24/7 né una separazione dei compiti tra più persone. L'accesso alla produzione è limitato a quella sola persona, il che mantiene anche minima la superficie di attacco interna.
  • SOC 2 / ISO 27001: non ancora disponibile. Non rivendichiamo SOC 2, ISO 27001 o qualsiasi altra certificazione che non possediamo, e non abbiamo completato un penetration test di terze parti.

8. Divulgazione Responsabile

Se ritieni di aver trovato una vulnerabilità di sicurezza, scrivi a edward@brainpercent.com con oggetto "Security".

Includi i passaggi per riprodurla. Per favore non accedere ai dati di altri utenti, non degradare il Servizio e non divulgare pubblicamente il problema prima che abbiamo avuto una ragionevole possibilità di correggerlo. Leggiamo ogni segnalazione e puntiamo a rispondere entro 72 ore.