Sicurezza e fiducia
Come Voice2Evolve protegge i tuoi dati, le tue sessioni e la tua organizzazione.
Voice2Evolve gestisce dati sensibili: registrazioni vocali, trascrizioni di conversazioni e contesto organizzativo. Trattiamo questa responsabilità come un vincolo progettuale, non come un ripensamento.
Questa pagina descrive i controlli che abbiamo implementato. Per accordi formali e misure tecniche dettagliate, i documenti pertinenti sono collegati in fondo alla pagina.
Residenza dei dati e crittografia
I dati della tua applicazione sono archiviati nell'UE (Supabase, regione di Stoccolma). Tutti i dati sono crittografati a riposo (AES-256) e in transito (TLS 1.2+). L'audio delle sessioni vocali è crittografato end-to-end tramite DTLS-SRTP tra il tuo browser e il fornitore di IA.
La crittografia a livello di applicazione (AES-256-GCM) protegge campi sensibili come documenti caricati, chiavi API e profili dei candidati. Le chiavi di crittografia sono gestite attraverso un sistema di vault a livelli con opzioni di configurazione a livello di organizzazione.
Isolamento tra organizzazioni
Voice2Evolve è progettato per più organizzazioni. Ogni query, ogni chiamata API e ogni operazione di archiviazione è limitata alla tua organizzazione. L'isolamento è applicato a livello di database tramite politiche di sicurezza per riga (RLS), non solo tramite logica applicativa.
Il contesto dell'organizzazione è validato indipendentemente su tre livelli: middleware, token di autenticazione e politiche di database. Tutti e tre devono corrispondere prima che i dati vengano restituiti. Non esiste alcuna superficie dati condivisa tra le organizzazioni.
Autenticazione e controllo degli accessi
L'autenticazione degli utenti è gestita tramite cookie sicuri HttpOnly con protezione SameSite. Il controllo degli accessi basato sui ruoli separa i permessi di utente, editor, amministratore di organizzazione e super amministratore. Tutte le route di amministrazione richiedono una verifica esplicita del ruolo.
Gli endpoint dell'API sono soggetti a limiti di frequenza per route. L'accesso anonimo è protetto dalla verifica CAPTCHA. Tutti i token di autenticazione sono di breve durata e firmati crittograficamente.
Trattamento dei dati vocali e IA
L'audio delle sessioni vocali viene elaborato in tempo reale e non viene conservato dai nostri fornitori di IA dopo l'elaborazione. Utilizziamo endpoint API in cui i dati delle sessioni non vengono utilizzati per l'addestramento dei modelli.
Le trascrizioni delle sessioni sono archiviate nel database della tua organizzazione, limitate alla tua organizzazione e soggette alla tua politica di conservazione configurata. Quando una sessione scade, le trascrizioni e l'analisi vengono automaticamente eliminate.
Per i nostri impegni etici sull'uso dell'analisi AI e ciò che la piattaforma non deciderà mai, consulta la nostra pagina IA responsabile.
Sicurezza dell'applicazione
La sicurezza è integrata nel processo di sviluppo, non aggiunta dopo. I controlli includono:
- Validazione degli input su ogni endpoint dell'API (schemi Zod)
- Content Security Policy con nonce per richiesta
- Logging strutturato con oscuramento automatico dei dati personali
- Scansione automatizzata delle dipendenze e avvisi di vulnerabilità
- Revisione del codice e scansione delle dipendenze con strumenti di sicurezza automatizzati e verifica manuale
- Log di audit immutabili per operazioni amministrative e finanziarie
Conformità e framework normativi
Voice2Evolve costruisce il suo Sistema di Gestione della Sicurezza delle Informazioni seguendo i principi di ISO 27001 e SOC 2. Le certificazioni formali non sono ancora completate. Tutti i fornitori vengono valutati in base ai requisiti di sicurezza e protezione dei dati prima dell'uso, e hanno firmato Accordi sul Trattamento dei Dati.
La piattaforma è conforme al GDPR: sono supportate le richieste di accesso, portabilità e cancellazione dei dati. Una Valutazione d'Impatto sulla Protezione dei Dati copre l'elaborazione delle sessioni vocali. I requisiti tedeschi GoBD per la contabilità digitale sono soddisfatti tramite l'integrazione Lexware.
Gestione dei fornitori
Ogni servizio di terze parti viene valutato per la postura di sicurezza, le pratiche di trattamento dei dati e le certificazioni di conformità prima dell'adozione. Tutti i fornitori critici possiedono la certificazione SOC 2 Tipo II. Gli Accordi sul Trattamento dei Dati sono firmati con ogni fornitore che tratta dati personali.
Un elenco completo dei sub-responsabili è pubblicato e mantenuto aggiornato. Le modifiche ai sub-responsabili vengono comunicate con 30 giorni di preavviso in conformità con il nostro Accordo sul Trattamento dei Dati.
Risposta agli incidenti
Una politica documentata di risposta agli incidenti copre rilevamento, contenimento, eradicazione e ripristino. Gli incidenti critici puntano a una risposta rapida, di norma entro poche ore. Le violazioni dei dati vengono segnalate all'autorità di controllo competente entro 72 ore come richiesto dall'articolo 33 del GDPR.
Tutti gli incidenti sono documentati con analisi delle cause profonde e tracciamento delle misure correttive. Le revisioni post-incidente alimentano i controlli di sicurezza e il monitoraggio.
Documentazione
Per acquisti, revisioni di conformità o domande tecniche dettagliate, sono disponibili i seguenti documenti:
Hai bisogno di più dettagli per una revisione di conformità?
Forniamo un white paper sulla sicurezza e questionari di sicurezza pre-compilati su richiesta. Se hai bisogno di informazioni specifiche per un acquisto, una revisione di sicurezza interna o una valutazione dei fornitori, contattaci direttamente.