La sicurezza non è una pagina di marketing. È un'architettura.
Il Trust Center di Konformia espone la postura di sicurezza e governance della piattaforma SaaS italiana per la compliance al Regolamento (UE) 2024/1689 (AI Act). In una sola pagina: lo stato operativo verificabile (endpoint pubblici di health-check per il backend e il database), l'architettura dell'audit log append-only enforced via trigger PostgreSQL con retention decennale (Art. 18 AI Act), l'elenco completo dei sub-processor con residenza dichiarata (Hetzner Falkenstein/Helsinki, Cloudflare edge UE, Mistral La Plateforme Parigi, Brevo Parigi — nessun fornitore extra-UE nella supply chain), le misure di sicurezza codificate (TLS via Cloudflare Origin Cert, password bcrypt con prehash SHA-256, hardening headers, container DB isolato dalla rete host) e i modelli pubblici scaricabili per la due diligence (questionario fornitore, calendario AI Act). Aggiornato a ogni rilascio della piattaforma.

Servizio attivo. Verifica indipendente.
Niente cruscotti finti. I tre stati qui sotto rispecchiano componenti reali della stack di Konformia; due hanno un link diretto agli endpoint pubblici di health-check, così puoi verificarli senza passare da noi.
Front-end web
Hai caricato questa pagina: l'applicazione è raggiungibile e renderizza correttamente.
API + database
Liveness e readiness pubblici. Vengono interrogati a ogni rilascio e da ogni health-check del load balancer.
Verifica /healthStorage documenti
Volume persistente Docker su VPS Hetzner (CX22). Snapshot orario, retention 14 giorni.
Verifica /health/readyCome è costruito il registro che difende l'output.
Sotto un'ispezione, il problema non è «cosa hai fatto» ma «cosa puoi dimostrare di aver fatto». L'architettura seguente esiste per rispondere alla seconda domanda con un registro che non è possibile riscrivere.
Append-only a livello di database
Il ruolo applicativo non ha permessi UPDATE o DELETE sulla tabella audit_logs. Un trigger PostgreSQL respinge ogni tentativo, anche dall'amministratore. La sola operazione consentita è INSERT.
Codice di verifica per ogni emissione
Ogni PDF generato porta stampato un SHA-256 calcolato sul contenuto. Una verifica futura del documento — anche fuori dalla piattaforma — può confermarne l'autenticità senza accedere ai nostri sistemi.
Retention 10 anni
L'AI Act (Art. 18) impone che la documentazione tecnica sia mantenuta accessibile alle autorità nazionali per almeno dieci anni dopo l'immissione sul mercato. Konformia conserva l'audit log per lo stesso periodo.
Tutto è ricostruibile
A ogni riclassificazione, riemissione, modifica di anagrafica o azione utente corrisponde una riga di audit. La storia completa di un sistema o di un documento è interrogabile in qualunque momento.
Decisioni difensive, scritte in codice.
Non riportiamo soltanto cosa abbiamo configurato, ma anche perché. Sei misure tecniche che riducono la superficie d'attacco e che si possono verificare nel repository.
TLS + Cloudflare in front
Tutto il traffico passa per Cloudflare e Caddy con Cloudflare Origin Certificate pinned (validità 15 anni). Header HSTS con preload, X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy che disabilita camera/microfono/geolocation.
Password hash bcrypt
bcrypt con prehash SHA-256 per superare il limite di 72 byte. Nessuna password viaggia o si conserva in chiaro, nessuna è mai inviata via email. Riferimento: backend/app/services/security.py.
Database PostgreSQL 16 isolato
Il container DB non espone porte all'host. L'amministratore esegue backup via dump versionati (`make prod-db-backup`) e configura snapshot del volume Hetzner; queste sono procedure operative documentate, non automatismi del codice applicativo.
Rete privata fra container
Il container DB non espone porte all'host. Soltanto il container backend lo raggiunge via DNS interno di Docker (db:5432). Difesa in profondità.
Allineato a ISO/IEC 27001 + 42001
Le misure organizzative seguono il framework ISO 27001 (gestione sicurezza informazioni) e ISO/IEC 42001 (sistema di gestione AI). Audit formale pianificato.
Disclosure responsabile
Le segnalazioni di vulnerabilità arrivano a [email protected]. Riconoscimento entro 48h, fix coordinato; nessuna ritorsione legale verso ricercatori in buona fede.
Chi tocca i dati, e dove vive.
Elenco completo dei terzi che possono trattare dati di clienti, con il ruolo svolto e la residenza dichiarata. L'invio dati verso un sub-processor extra-UE è esplicito e mai automatico.
- Hetzner Online GmbHHosting infrastrutturale (VPS, storage a blocchi, backup snapshot)Falkenstein (DE) · Helsinki (FI)UEPrivacy policy
- CloudflareCDN, mitigazione DDoS, certificato Origin verso il VPSEdge UE; configurazione «no US transit» per il traffico EUUEPrivacy policy
- Mistral AIInferenza LLM (classificazione, copilot, riassunti normativi). API La Plateforme con residenza europea — è l'unico provider LLM con cui parlano i nostri server.Parigi (FR)UEPrivacy policy
- BrevoInvio email transazionali e nurture (certificati quiz, report).Parigi (FR)UEPrivacy policy
L'elenco è mantenuto aggiornato a ogni aggiunta o rimozione di sub-processor. Modifiche significative sono notificate via email ai clienti di piani business e via banner in piattaforma.
Strumenti per la tua due diligence.
Due modelli pubblici per la due diligence interna ed esterna, scaricabili senza registrazione. Un terzo — la DPIA nativa GDPR Art. 35 — è in roadmap e arriverà come modulo dedicato.
Questionario fornitore IA
Template di due diligence per fornitori IA, allineato ad Allegato IV e Art. 13/26 del Regolamento.
Calendario AI Act
Tutte le date applicative del Regolamento in formato .ics, importabili in Outlook, Google Calendar o Apple Calendar.
DPIA — modello GDPR
Per i sistemi AI ad alto rischio, l'Allegato IV §9 (FRIA, Art. 27) è già generato nativamente. La DPIA GDPR dedicata uscirà come modulo separato, allineata alla modulistica del Garante Privacy.
In arrivoDisclosure responsabile, senza ostacoli.
Le segnalazioni di vulnerabilità arrivano direttamente al team di sicurezza. Confermiamo la ricezione entro 48 ore, fissiamo un piano di rimedio e — per le scoperte significative — accreditiamo il ricercatore.
- Nessuna azione legale verso ricercatori in buona fede
- Coordinamento sulla data di pubblicazione del fix
- Hall of fame su /trust dopo la patch
Konformia non è uno studio legale. Le pagine /legal contengono privacy policy e termini.

