Sicurezza e conformità: tutto quello che ci ha chiesto AgID
Trasparenza totale sui controlli che applichiamo: dalla firma XMLDSig al replay detection, dal logging audit-ready alla rotazione certificati.
Conformità AgID
- Service Provider registrato presso AgID con Service ID univoco
- Metadata XML firmato secondo lo XML Signature Schema con SHA-256
- Validazione asserzioni: firma, audience, NotBefore, NotOnOrAfter, AuthnContext, SessionIndex
- Controllo replay con cache delle Assertion ID per 5 minuti
- Logging conforme al "Regolamento recante le modalità attuative del sistema pubblico per la gestione dell\'identità digitale"
- Conservazione log per 24 mesi su storage ridondato
GDPR
IngressoDigitale tratta dati personali in qualità di Responsabile del trattamento rispetto al Cliente (Titolare). Forniamo:
- DPA standard pre-firmato (allegato al contratto)
- Registro dei trattamenti accessibile al DPO del Cliente
- DPIA disponibile per i Clienti che ne fanno richiesta
- Procedura di gestione data breach con notifica entro 24 ore
- Cancellazione dati su richiesta entro 30 giorni
- Esportazione dati in formato strutturato (JSON/CSV)
- Pseudonimizzazione automatica nei log analitici
Sicurezza tecnica
- Hosting in datacenter ISO 27001 in territorio italiano
- Certificati X.509 con rotazione automatica programmata (zero downtime)
- Backup giornalieri con retention 30 giorni
- Monitoring 24/7 con alert su anomalie
- Penetration test annuali da società esterna
- Vulnerability scanning settimanale
- Disaster recovery in datacenter secondario, RTO 4 ore, RPO 1 ora
Documenti scaricabili (clienti registrati)
- DPA standard (PDF)
- Informativa per il Titolare (PDF)
- Registro trattamenti (XLS/PDF)
- Certificazioni ISO 27001 del datacenter
- Report di penetration test (sintesi pubblica)