Torna alle guide
Sicurezza e Policy
La protezione dei tuoi dati è la nostra priorità. Scopri i principi di sicurezza, le policy di utilizzo e i tuoi diritti.
Principi di sicurezza
TurboIntrastat adotta un approccio di sicurezza multilivello: crittografia TLS 1.3 per i dati in transito e AES-256 per i dati a riposo, monitoraggio 24/7 con rilevamento automatico delle anomalie, Row Level Security su 35+ tabelle per l'isolamento dei dati per organizzazione, header di sicurezza OWASP, protezione contro CSV injection e notifiche PEC per azioni critiche.
Policy di utilizzo e protezione
TurboIntrastat adotta una scala di enforcement graduata a 7 livelli, conforme al Digital Services Act (Regolamento UE 2022/2065), per proteggere la piattaforma e i suoi utenti. Il principio fondamentale è l'azione minima sufficiente al rischio: ogni misura è proporzionale e reversibile ove possibile.
Trigger di attivazione
I trigger che attivano la scala di enforcement includono: volume anomalo di richieste (possibile DDoS o scraping), tentativi di SQL injection o prompt injection, accesso non autorizzato ai dati di altri utenti, violazione ripetuta dei termini di servizio, upload di contenuti malevoli. Ogni trigger è classificato per gravità e attiva il livello di enforcement appropriato.
Conservazione dei dati
I periodi di conservazione sono determinati dalla Valutazione d'Impatto sulla Protezione dei Dati (DPIA) condotta ai sensi dell'Art. 35 GDPR. Ogni tipo di dato ha un periodo di conservazione specifico, al termine del quale viene automaticamente eliminato.
Conformità
TurboIntrastat è conforme a: Regolamento UE 2016/679 (GDPR) con DPIA documentata, Digital Services Act (UE 2022/2065) per la trasparenza delle decisioni, standard OWASP per la sicurezza applicativa, NIST SP 800-61 per l'incident response. Tutti i dati sono elaborati e archiviati esclusivamente in data center nell'Unione Europea.
Diritto di appello
In conformità al Digital Services Act (Art. 17), ogni utente ha il diritto di contestare qualsiasi decisione di enforcement. Il processo di appello garantisce trasparenza e equità, con revisione umana obbligatoria.
Scala di enforcement
Scala graduata a 7 livelli conforme al Digital Services Act.
| Livello | Azione | Descrizione |
|---|---|---|
| LIV 0 | Rate Limiting | Limitazione automatica del traffico in caso di volume anomalo. |
| LIV 1 | Challenge CAPTCHA | Verifica anti-bot per richieste sospette. |
| LIV 2 | Avviso Formale | Notifica via email e nell'app per prima violazione. |
| LIV 3 | Lockout Temporaneo | Blocco temporaneo con durata esponenziale (max 15 minuti). |
| LIV 4 | Sospensione Temporanea | Sospensione da 24h a 30 giorni per violazioni ripetute. |
| LIV 5 | Sospensione Permanente | Sospensione indefinita con possibilità di appello. |
| LIV 6 | Terminazione Account | Chiusura permanente dell'account con notifica PEC. |
| LIV 7 | Segnalazione Autorità | Segnalazione alle autorità competenti per reati informatici. |
Principio fondamentale: l'azione minima sufficiente al rischio. Ogni misura è proporzionale e reversibile ove possibile.
Periodi di conservazione
Periodi di conservazione trasparenti, determinati dalla DPIA (Art. 35 GDPR).
| Tipo dato | Periodo | Note |
|---|---|---|
| Documenti elaborati | 24 mesi | Eliminazione automatica al termine |
| Log di sicurezza | 12 mesi | 90 giorni attivi + archivio |
| Storico enforcement | 36 mesi | Per obblighi legali |
| Dati account | Durata contratto | Eliminazione su richiesta |
Procedura di appello
In conformità al Digital Services Act (Art. 17), ogni utente ha il diritto di contestare qualsiasi decisione di enforcement.
- Appello disponibile entro 6 mesi dalla notifica della decisione
- Conferma di ricezione entro 24 ore dalla richiesta
- Revisione umana completata entro 5 giorni lavorativi
- Secondo appello disponibile entro 15 giorni, valutato da un diverso operatore
- Possibilità di risoluzione extragiudiziale (Art. 21 DSA)
Per presentare appello: supporto@turbointrastat.com con oggetto "Appello - [ID Azione]"