Privacy Policy
Ultimo aggiornamento: aprile 2026
1. Titolare del trattamento
Servid è una piattaforma SaaS di gestione inventario magazzino ricambi. Il titolare del trattamento è il fornitore della piattaforma. Il cliente (l’azienda che acquista la licenza) è il titolare dei dati operativi inseriti nei suoi magazzini.
2. Dati raccolti
- Dati account: email, nome, telefono, ruolo, lingua preferita.
- Dati di sicurezza: hash password (bcrypt), eventuale TOTP secret cifrato AES-256-GCM, flag MFA, login history (IP, user-agent, timestamp).
- Dati operativi: articoli inventariati, conteggi eseguiti, movimenti stock, correzioni e rettifiche, audit log.
- Cookie tecnici: sessione (httpOnly, secure, sameSite=lax). Nessun cookie di tracciamento.
3. Base giuridica
Trattiamo i tuoi dati per: (a) esecuzione del contratto di servizio (Art. 6.1.b GDPR), (b) obblighi legali — conservazione audit fiscale 7 anni Codice Civile art. 2220 (Art. 6.1.c), (c) legittimo interesse per sicurezza e prevenzione frodi (Art. 6.1.f).
4. Conservazione
- PII (email, telefono): 730 giorni dopo l’ultima attività dell’utente, poi anonimizzazione automatica.
- Dati operativi: 7 anni (Codice Civile art. 2220).
- Audit log: 10 anni con hash chain SHA-256 per integrità.
- Login history: 90 giorni.
- Notifiche in-app: 365 giorni.
5. I tuoi diritti (GDPR Art. 15-22)
Puoi esercitare in qualsiasi momento i diritti di:
- Accesso (Art. 15): ricevere copia di tutti i tuoi dati. Disponibile via area personale (export) o richiesta al tuo amministratore.
- Rettifica (Art. 16): aggiornare nome/telefono/lingua via area personale.
- Cancellazione (Art. 17): richiedere l’anonimizzazione del tuo account. I dati operativi (conteggi, movimenti) restano (base legale operativa) ma associati a un identificatore anonimo.
- Portabilità (Art. 20): export JSON machine-readable.
- Limitazione (Art. 18): contattare il proprio amministratore.
- Opposizione (Art. 21): contattare il proprio amministratore.
6. Sicurezza
- Cifratura at-rest dei TOTP secret (AES-256-GCM)
- Hash password bcrypt (cost factor 12)
- HTTPS obbligatorio (HSTS preload, max-age 1 anno)
- CSP, X-Frame-Options DENY, X-Content-Type-Options
- Rate limiting + brute force lockout (5 tentativi/15min)
- Audit log immutabile con hash chain SHA-256 verificabile
- Backup giornalieri DB criptati (retention 30 giorni)
7. Trasferimenti dati
I dati restano all’interno dell’UE. Subprocessors: il fornitore dell’infrastruttura cloud, il provider SMTP per email transazionali. Lista completa disponibile su richiesta.
8. Data Breach
In caso di violazione che presenti rischio per i diritti degli interessati, notificheremo il Garante entro 72 ore (Art. 33 GDPR) e gli interessati senza ingiustificato ritardo (Art. 34).
9. Contatti
Per esercitare i tuoi diritti o segnalare incidenti scrivi a: privacy@servid.condoe.it
Vedi anche: Termini di servizio · Cookie policy · DPA