Sicurezza

Panoramica dei controlli di sicurezza, conformità e protezione dati. Cosa NormaAI fa per proteggere i tuoi dati.

Ultimo aggiornamento: Marzo 2026 · NormaAI v0.3

SOC 2 Type II

In Progress

NormaAI sta completando il percorso di certificazione SOC 2 Type II. Audit di sicurezza, penetration testing e documentazione completa dei controlli.

Crittografia

  • Dati in transito: TLS 1.3 su tutte le connessioni
  • Dati at rest: AES-256 su PostgreSQL e backup
  • Token di autenticazione: JWT RS256 con rotazione automatica
  • Password: bcrypt con salt individuale (work factor 12)

Controllo Accessi

  • Multi-tenant isolation via PostgreSQL Row Level Security (RLS)
  • RBAC granulare: 24 permessi su 9 moduli, ruoli personalizzabili
  • Segregazione dei compiti (four-eyes principle) per approvazioni
  • SSO enterprise: SAML 2.0 / OpenID Connect (Okta, Azure AD, Google)
  • Rate limiting per endpoint con sliding window
  • JTI blacklist per revoca immediata token

Audit & Monitoraggio

  • Audit trail completo: 17+ eventi tracciati con timestamp, utente, IP
  • Retention audit log: 7+ anni (requisito Basel III / MiFID II)
  • Export audit report per regolatori: CSV con filtri avanzati
  • Monitoraggio real-time: health check, latency tracking, error rate

Infrastruttura

  • Architettura: FastAPI (Python) + Next.js 14 (TypeScript)
  • Database: PostgreSQL con RLS multi-tenant
  • Vector DB: Qdrant per ricerca semantica normativa
  • Cache: Redis per session management e rate limiting
  • LLM: Google Gemini 2.5 Flash via API (data processing agreement attivo)
  • CORS hardened con whitelist origini

Conformità & Trasparenza AI

  • AI Act Art. 50: disclosure sistema AI su ogni output
  • GDPR Art. 28: sub-responsabili documentati (Google Gemini, Resend, Hetzner) + DPA template per i clienti
  • Disclaimer legale persistente su ogni pagina
  • Confidence score qualitativo (non percentuale fuorviante)
  • Badge "Verifica sempre raccomandata" su ogni analisi AI
  • Termini di Servizio e Privacy Policy pubblicati

Incident Response & Breach Notification

  • Notifica al cliente (Titolare) senza ingiustificato ritardo e comunque entro 48h dalla conoscenza della violazione
  • Contenuto minimo ex Art. 33(3) GDPR: natura, categorie e numero interessati, conseguenze probabili, misure adottate
  • Coordinamento con il Titolare per gli adempimenti Art. 33 (Autorità, 72h) e Art. 34 (interessati)
  • Runbook di incident response e canale dedicato security@normaai.org
  • Clausola di breach notification inclusa nel DPA (Art. 28) fornito ai clienti

Security Questionnaire & Contatti

Per richieste relative alla sicurezza, questionari vendor, o segnalazioni di vulnerabilità:

security@normaai.org

Tempo di risposta target: 24h lavorative per questionari, 4h per segnalazioni di vulnerabilità.