Fiducia e sicurezza

    Controlli lato responsabile del trattamento per la piattaforma LandingRed. I team di procurement, legali e compliance possono rispondere qui alla loro checklist pre-NDA senza contattare il supporto.

    Ultima revisione: 2026-06-02

    Accordo sul trattamento dei dati (DPA)

    Un template di DPA v1.0 conforme all'articolo 28 del GDPR è disponibile su richiesta (privacy@landingred.com). L'Allegato A definisce l'ambito per cliente; l'Allegato B descrive le misure tecniche e organizzative elencate sotto; l'Allegato C elenca i sub-responsabili attuali. Versione italiana disponibile.

    Sub-responsabili del trattamento

    Preavviso di 30 giorni prima di qualsiasi modifica, impegnato in DPA §6.3. I tenant possono opporsi entro il periodo di preavviso; opposizioni non risolte determinano la cessazione del trattamento interessato.

    Sub-responsabileFinalitàUbicazioneMeccanismo di trasferimento
    Hetzner Online GmbHPrimary hosting (EU)Germany / FinlandGDPR-native (intra-EEA)
    Anthropic, PBCLLM provider (own-key tier)United StatesSCCs Module 2
    OpenAI, OpC, LLCLLM provider (own-key tier)United StatesSCCs Module 2
    Brevo SASTransactional emailFranceGDPR-native (intra-EEA)
    Functional Software, Inc. (Sentry)Error trackingUnited StatesSCCs Module 2

    Misure tecniche e organizzative (art. 32)

    Controlli concreti che attuano l'art. 32 del GDPR e l'Annex A di ISO 27001. Ogni riga punta a un reale riferimento nel codice; gli auditor possono verificarli tramite l'esportazione esterna del log di audit.

    • Encryption at rest
      AES-256 (Hetzner infra) + per-field Fernet for sensitive secrets (core/encryption.py)
    • Encryption in transit
      TLS 1.2+ on all endpoints; HSTS pre-load eligible
    • Authentication
      PBKDF2/Argon2 password hashing + TOTP MFA (django_otp) + SAML SSO (Enterprise)
    • Authorization
      Row-level tenant isolation via TenantAwareManager (1,318 LoC of dedicated isolation tests)
    • Audit trail
      Append-only AuditLog with DB-level immutability (10-year retention floor for AI-Act-scoped rows)
    • Backups
      Daily pg_dump + 7-day rolling on-host retention + pre-deploy snapshots
    • Incident response
      Documented runbook (docs/deploy-recovery.md) + 72h breach-notification commitment in DPA §6.6

    Certificazioni del fornitore

    Le matrici di prontezza per ISO 27001, SOC 2 e ISO 42001 sono mantenute internamente; gli impegni di certificazione seguono la roadmap pubblicata. Lettere di attestazione disponibili sotto NDA.

    • ISO 27001:2022
      Readiness matrix maintained; certification roadmap on file
    • SOC 2 Type II
      Readiness matrix maintained; Type I assessment scheduled
    • ISO 42001:2023 (AI Management System)
      Readiness matrix (38 Annex A controls + 7 clauses); first-mover certification track

    Divulgazione delle vulnerabilità

    Seguiamo RFC 9116. Il contatto machine-readable e i metadati di crittografia sono pubblicati su /.well-known/security.txt. Divulgazione coordinata: segnala a security@landingred.com; confermiamo entro 24 ore.

    Contatti

    Per domande di procurement, DPA o richieste in materia di sicurezza: privacy@landingred.com. Per la segnalazione di vulnerabilità, vedere la sezione dedicata sotto e il nostro endpoint RFC 9116 /.well-known/security.txt.