Privacy Policy

Ultimo aggiornamento: aprile 2026

1. Titolare del trattamento

Servid è una piattaforma SaaS di gestione inventario magazzino ricambi. Il titolare del trattamento è il fornitore della piattaforma. Il cliente (l’azienda che acquista la licenza) è il titolare dei dati operativi inseriti nei suoi magazzini.

2. Dati raccolti

• Dati account: email, nome, telefono, ruolo, lingua preferita.
• Dati di sicurezza: hash password (bcrypt), eventuale TOTP secret cifrato AES-256-GCM, flag MFA, login history (IP, user-agent, timestamp).
• Dati operativi: articoli inventariati, conteggi eseguiti, movimenti stock, correzioni e rettifiche, audit log.
• Cookie tecnici: sessione (httpOnly, secure, sameSite=lax). Nessun cookie di tracciamento.

3. Base giuridica

Trattiamo i tuoi dati per: (a) esecuzione del contratto di servizio (Art. 6.1.b GDPR), (b) obblighi legali — conservazione audit fiscale 7 anni Codice Civile art. 2220 (Art. 6.1.c), (c) legittimo interesse per sicurezza e prevenzione frodi (Art. 6.1.f).

4. Conservazione

• PII (email, telefono): 730 giorni dopo l’ultima attività dell’utente, poi anonimizzazione automatica.
• Dati operativi: 7 anni (Codice Civile art. 2220).
• Audit log: 10 anni con hash chain SHA-256 per integrità.
• Login history: 90 giorni.
• Notifiche in-app: 365 giorni.

5. I tuoi diritti (GDPR Art. 15-22)

Puoi esercitare in qualsiasi momento i diritti di:

• Accesso (Art. 15): ricevere copia di tutti i tuoi dati. Disponibile via area personale (export) o richiesta al tuo amministratore.
• Rettifica (Art. 16): aggiornare nome/telefono/lingua via area personale.
• Cancellazione (Art. 17): richiedere l’anonimizzazione del tuo account. I dati operativi (conteggi, movimenti) restano (base legale operativa) ma associati a un identificatore anonimo.
• Portabilità (Art. 20): export JSON machine-readable.
• Limitazione (Art. 18): contattare il proprio amministratore.
• Opposizione (Art. 21): contattare il proprio amministratore.

6. Sicurezza

• Cifratura at-rest dei TOTP secret (AES-256-GCM)
• Hash password bcrypt (cost factor 12)
• HTTPS obbligatorio (HSTS preload, max-age 1 anno)
• CSP, X-Frame-Options DENY, X-Content-Type-Options
• Rate limiting + brute force lockout (5 tentativi/15min)
• Audit log immutabile con hash chain SHA-256 verificabile
• Backup giornalieri DB criptati (retention 30 giorni)

7. Trasferimenti dati

I dati restano all’interno dell’UE. Subprocessors: il fornitore dell’infrastruttura cloud, il provider SMTP per email transazionali. Lista completa disponibile su richiesta.

8. Data Breach

In caso di violazione che presenti rischio per i diritti degli interessati, notificheremo il Garante entro 72 ore (Art. 33 GDPR) e gli interessati senza ingiustificato ritardo (Art. 34).

9. Contatti

Per esercitare i tuoi diritti o segnalare incidenti scrivi a: privacy@servid.condoe.it

Vedi anche: Termini di servizio · Cookie policy · DPA