Sicurezza
- Cifratura TLS 1.3 in transito (Let's Encrypt)
- AES-256-GCM at-rest per secret sensibili (TOTP)
- Audit log immutabile con hash chain SHA-256
- Rate limiting + brute force lockout
- MFA TOTP obbligatorio per ruoli admin
Sicurezza, conformità e trasparenza al cuore di Servid. Tutti gli elementi che un buyer enterprise EU deve poter verificare prima di firmare.
| Standard | Stato | Timeline |
|---|---|---|
| GDPR (Reg. UE 2016/679) | Compliant | 2026-04 |
| ISO 27001 — Information Security | Roadmap Y1 | Audit Q4 2026 |
| ISO 27001 — Certificazione | Roadmap Y2 | Cert. Q2 2027 |
| SOC 2 Type I | Roadmap Y2 | Q4 2027 |
| WCAG 2.2 Level AA | Compliant | 2026-04 (audit Lighthouse + axe) |
| NIS2 Directive (supplier scope) | Aligned | Risk assessment ongoing |
Tutti i dati operativi (PostgreSQL, file utente, audit log) risiedono fisicamente in Italia sul VPS aziendale (109.199.105.79, Cluster Veneto). Nessun trasferimento extra-UE per i dati subject.
RPO 24h: backup pg_dump quotidiano alle 03:00 con retention 30 giorni. RTO 4h: procedura di restore documentata in runbook interno. Disponibile la storia delle ultime 30 esecuzioni via API admin.
| Provider | Finalità | Regione |
|---|---|---|
| DMS (docker-mailserver) | Email transactional (SMTP) | Italy |
| Cloudflare | DNS + DDoS protection | EU edge |
| Let's Encrypt (ISRG) | TLS certificate authority | USA non-profit |
| GitHub | Source code repository | USA — DPA signed |
CAIQ-Lite v4
Cloud Security Questionnaire pre-compilato per vendor security review
ISO 27001 Baseline
Mapping 93 controlli Annex A:2022 con stato implementazione e roadmap
SLA completo
Uptime, RTO/RPO, severity classification, crediti di servizio
Per il questionario CAIQ v4 completo, SIG Lite, o assistance DPIA: scrivi a security@servid.condoe.it sotto NDA reciproco.
Per disclosure responsabile di vulnerabilità o richieste compliance:
security@servid.condoe.itPGP key disponibile su richiesta. Acknowledge entro 48h.