Voice2Evolve® logo

Security review per software procurement

Sicurezza e fiducia

Software di training per negoziazione con fornitori ospitato in UE, con isolamento tenant, subprocessor pubblicati, controlli pronti per DPA e un percorso chiaro di security review per il procurement.

Come Voice2Evolve protegge dati di sessione, contesto organizzativo e processo di review del buyer prima del rollout.

Dati applicativi ospitati in UE (Supabase Stoccolma)

Subprocessor pubblicati e artifact legali pronti per DPA

Isolamento tenant applicato su middleware, claim di autenticazione e policy database

Audio di sessione cifrato in transito tramite DTLS-SRTP

Security pack e risposte ai questionari disponibili su richiesta

Token a breve durata, rate limit e controllo accessi per ruoli

Voice2Evolve gestisce dati sensibili: audio vocale in diretta durante le sessioni, trascrizioni di conversazioni e contesto organizzativo. Trattiamo questa responsabilità come un vincolo progettuale, non come un ripensamento.

Questa pagina descrive i controlli che abbiamo implementato. Per accordi formali e misure tecniche dettagliate, i documenti pertinenti sono collegati in fondo alla pagina.

Residenza dei dati e crittografia

I dati della tua applicazione sono archiviati nell'UE (Supabase, regione di Stoccolma). Tutti i dati sono crittografati a riposo (AES-256) e in transito (TLS 1.2+). L'audio delle sessioni vocali è crittografato end-to-end tramite DTLS-SRTP tra il tuo browser e il fornitore di IA.

La crittografia a livello di applicazione (AES-256-GCM) protegge campi sensibili come documenti caricati, chiavi API e profili dei candidati. Le chiavi di crittografia sono gestite attraverso un sistema di vault a livelli con opzioni di configurazione a livello di organizzazione.

Isolamento tra organizzazioni

Voice2Evolve è progettato per più organizzazioni. Ogni query, ogni chiamata API e ogni operazione di archiviazione è limitata alla tua organizzazione. L'isolamento è applicato a livello di database tramite politiche di sicurezza per riga (RLS), non solo tramite logica applicativa.

Il contesto dell'organizzazione è validato indipendentemente su tre livelli: middleware, token di autenticazione e politiche di database. Tutti e tre devono corrispondere prima che i dati vengano restituiti. Non esiste alcuna superficie dati condivisa tra le organizzazioni.

Trattamento dei dati vocali e IA

L'audio delle sessioni vocali viene elaborato in tempo reale e non viene conservato dai nostri fornitori di IA dopo l'elaborazione. Utilizziamo endpoint API in cui i dati delle sessioni non vengono utilizzati per l'addestramento dei modelli.

Le trascrizioni delle sessioni sono archiviate nel database della tua organizzazione, limitate alla tua organizzazione e soggette alla tua politica di conservazione configurata. Quando una sessione scade, le trascrizioni e l'analisi vengono automaticamente eliminate.

Utilizziamo endpoint API in cui input e output non vengono usati per l'addestramento dei modelli di IA. I dettagli su fornitori, categorie di dati e conservazione sono documentati nell'elenco dei subprocessori e nei materiali di revisione.

Per i nostri impegni etici sull'uso dell'analisi AI e ciò che la piattaforma non deciderà mai, consulta la nostra pagina IA responsabile.

Autenticazione e controllo degli accessi

L'autenticazione degli utenti è gestita tramite cookie sicuri HttpOnly con protezione SameSite. Il controllo degli accessi basato sui ruoli separa i permessi di utente, editor, amministratore di organizzazione e super amministratore. Tutte le route di amministrazione richiedono una verifica esplicita del ruolo.

Gli endpoint dell'API sono soggetti a limiti di frequenza per route. L'accesso anonimo è protetto dalla verifica CAPTCHA. Tutti i token di autenticazione sono di breve durata e firmati crittograficamente.

Sicurezza dell'applicazione

La sicurezza è integrata nel processo di sviluppo, non aggiunta dopo. I controlli includono:

  • Validazione degli input su ogni endpoint dell'API (schemi Zod)
  • Content Security Policy con nonce per richiesta
  • Logging strutturato con oscuramento automatico dei dati personali
  • Scansione automatizzata delle dipendenze e avvisi di vulnerabilità
  • Revisione del codice con strumenti di sicurezza automatizzati e verifica manuale
  • Log di audit immutabili per operazioni amministrative e finanziarie

Conformità e framework normativi

Voice2Evolve costruisce il suo Sistema di Gestione della Sicurezza delle Informazioni seguendo i principi di ISO 27001 e SOC 2. Le certificazioni formali non sono ancora completate. Tutti i fornitori vengono valutati in base ai requisiti di sicurezza e protezione dei dati prima dell'uso, e hanno firmato Accordi sul Trattamento dei Dati.

La piattaforma è conforme al GDPR: sono supportate le richieste di accesso, portabilità e cancellazione dei dati. Una Valutazione d'Impatto sulla Protezione dei Dati copre l'elaborazione delle sessioni vocali. I requisiti tedeschi GoBD per la contabilità digitale sono soddisfatti tramite l'integrazione Lexware.

Gestione dei fornitori

Ogni servizio di terze parti viene valutato per la postura di sicurezza, le pratiche di trattamento dei dati e le certificazioni di conformità prima dell'adozione. Tutti i fornitori critici possiedono la certificazione SOC 2 Tipo II. Gli Accordi sul Trattamento dei Dati sono firmati con ogni fornitore che tratta dati personali.

Un elenco completo dei sub-responsabili è pubblicato e mantenuto aggiornato. Le modifiche ai sub-responsabili vengono comunicate con 30 giorni di preavviso in conformità con il nostro Accordo sul Trattamento dei Dati.

Risposta agli incidenti

Una politica documentata di risposta agli incidenti copre rilevamento, contenimento, eradicazione e ripristino. Gli incidenti critici puntano a una risposta rapida, di norma entro poche ore. Le violazioni dei dati vengono segnalate all'autorità di controllo competente entro 72 ore come richiesto dall'articolo 33 del GDPR.

Tutti gli incidenti sono documentati con analisi delle cause profonde e tracciamento delle misure correttive. Le revisioni post-incidente alimentano i controlli di sicurezza e il monitoraggio.

Documentazione

Per acquisti, revisioni di conformità o domande tecniche dettagliate, sono disponibili i seguenti documenti:

Accordo sul Trattamento dei DatiElenco dei sub-responsabiliInformativa sulla privacyIA responsabile

Cosa forniamo durante la vendor review

I team procurement, IT, security e privacy richiedono di solito lo stesso set di prove prima del rollout. Lo forniamo direttamente.

  • Accordo sul trattamento dati e lista sub-responsabili
  • Privacy policy e posizione Responsible AI
  • Security whitepaper e risposte ai questionari su richiesta
  • Spiegazione chiara di retention, hosting, controllo accessi e isolamento tenant

Ti serve il pacchetto di review per procurement, IT o compliance?

Forniamo security whitepaper, risposte ai questionari procurement e risposte dirette per review buyer, privacy e security.

Richiedi security pack