Sicurezza e conformità: tutto quello che ci ha chiesto AgID

Trasparenza totale sui controlli che applichiamo: dalla firma XMLDSig al replay detection, dal logging audit-ready alla rotazione certificati.

Conformità AgID

  • Service Provider registrato presso AgID con Service ID univoco
  • Metadata XML firmato secondo lo XML Signature Schema con SHA-256
  • Validazione asserzioni: firma, audience, NotBefore, NotOnOrAfter, AuthnContext, SessionIndex
  • Controllo replay con cache delle Assertion ID per 5 minuti
  • Logging conforme al "Regolamento recante le modalità attuative del sistema pubblico per la gestione dell\'identità digitale"
  • Conservazione log per 24 mesi su storage ridondato

GDPR

IngressoDigitale tratta dati personali in qualità di Responsabile del trattamento rispetto al Cliente (Titolare). Forniamo:

  • DPA standard pre-firmato (allegato al contratto)
  • Registro dei trattamenti accessibile al DPO del Cliente
  • DPIA disponibile per i Clienti che ne fanno richiesta
  • Procedura di gestione data breach con notifica entro 24 ore
  • Cancellazione dati su richiesta entro 30 giorni
  • Esportazione dati in formato strutturato (JSON/CSV)
  • Pseudonimizzazione automatica nei log analitici

Sicurezza tecnica

  • Hosting in datacenter ISO 27001 in territorio italiano
  • Certificati X.509 con rotazione automatica programmata (zero downtime)
  • Backup giornalieri con retention 30 giorni
  • Monitoring 24/7 con alert su anomalie
  • Penetration test annuali da società esterna
  • Vulnerability scanning settimanale
  • Disaster recovery in datacenter secondario, RTO 4 ore, RPO 1 ora

Documenti scaricabili (clienti registrati)

  • DPA standard (PDF)
  • Informativa per il Titolare (PDF)
  • Registro trattamenti (XLS/PDF)
  • Certificazioni ISO 27001 del datacenter
  • Report di penetration test (sintesi pubblica)

IngressoDigitale fa parte dell'ecosistema Ordix, suite completa di gestionali per enti pubblici e ordini professionali. Scopri Ordix